13 Nov Las empresas, en el ojo de los hackers
Por Ricardo Quesada
Troyanos, phishing, ingeniería social son solo algunas de las amenazas que las empresas enfrentan día tras día en el ciberespacio. Incluso las organizaciones con estrictas normas y políticas de ciberseguridad pueden quedar expuestas y los oportunistas encontrar una brecha que les permita hacerse de mucho dinero. Y, aunque no todas las compañías se expongan a pérdidas con más de cinco ceros, muchas empiezan a entender que el presupuesto de seguridad informática no es un gasto, sino que se trata de una inversión. “Quedó demostrado en los últimos años que los ciberataques pueden ser devastadores para las organizaciones. Los casos más extremos han llevado a la quiebra a algunas empresas”, indica Sergio Pilla, director de McAfee en la Argentina.
En la última edición de su encuesta de seguridad, la consultora PwC estima que el costo promedio de un incidente grave de ciberseguridad a nivel global ronda los u$s 2,7 millones. Sin embargo, las pérdidas pueden ser difíciles de calcular.
Deloitte indica que, en América latina, es muy bajo el porcentaje de organizaciones que miden el impacto económico-financiero-organizacional de un incidente de seguridad. Quienes lo miden, observan impactos de entre u$s 250.000 y u$s 5 millones.
“El costo de un ataque que implique la caída de un servicio de la compañía implica un costo oculto que se ve en el tiempo: es aquél representado por los clientes que habrán decidido pasarse al servicio de la competencia ante la indisponibilidad”, estima Walter Risi, socio de IT Advisory de KPMG Argentina.
En el mismo sentido se expresa Andrés Gil, socio de Deloitte, líder de Cyber Risk para la Argentina: “Es importante mencionar el costo o impacto reputacional que se puede derivar de un incidente de seguridad. Esto no es tan fácil de medir pero puede ser monitoreado, por ejemplo, mediante un indicador de pérdida de clientes, pérdida de negocios o baja en el precio de la acción de la compañía, si cotiza en Bolsa”.
“Diferentes estudios han remarcado el crecimiento del costo promedio del cibercrimen en la región y a nivel mundial. Uno de estos estudios, realizado por HP, concluye que el costo promedio aumentó un 96% desde 2010. En ese estudio, el valor promedio queda alrededor de u$s 1,6 millón pero incluye brechas de seguridad millonarias a grandes empresas internacionales”, asegura Pablo Ramos, jefe de Laboratorio de ESET Latinoamérica.
Los puntos débiles
Para lograr sus objetivos, los cibercriminales siguen basándose en estrategias y ataques como phishing, explotación de vulnerabilidades e infecciones con códigos maliciosos, con los que logran acceder a la información de las empresas de manera remota. Cada uno de este tipo de ataques tiene un impacto diferente en la organización, pero se pueden detectar a través de diferentes tecnologías y la educación de los usuarios.
“A medida que las compañías van fortaleciendo sus políticas y modelo de seguridad, los ciberatacantes buscan los puntos débiles que posee su modelo de seguridad y encuentran en las personas y en el uso cotidiano que estas hacen de los sistemas una debilidad que todavía posee algunas fallas. Esto lo vemos evidenciado en que el 35% de los encuestados en la Global Information Security Survey realizada por EY cree que la fuente más probable de un ataque vendrá dada por empleados descuidados o mal informados sobre seguridad que resultan víctimas de ataques de phishing e ingeniería social”, explica Antonio Ramos, director Ejecutivo de Ciberseguridad de EY Argentina.
En un relevamiento realizado por ESET, para el que entrevistaron a más de 3.500 profesionales de diferentes industrias y empresas de la región, cerca del 50% de las organizaciones sufrieron la infección de un código malicioso durante 2014. Ese fue el incidente más habitual, seguido por los accesos indebidos a la información en una media del 45% en empresas grandes, medianas y chicas.
Frente a estos números queda claro que el presupuesto destinado a seguridad informática es dinero bien invertido, aun cuando el ciberriesgo nunca llegue a cero.
“Ante todo, el riesgo cero es una utopía. Aun si fuera posible reducirlo a cero, posiblemente la ecuación costo / beneficio no sería razonable”, asegura Risi.
Por su parte, Diego Taich, director de IT y Forensic Technology Services de PwC Argentina, indica: “El presupuesto que se destina a seguridad informática debería estar alineado con el nivel de amenazas y riesgos de seguridad que enfrenta la compañía. De acuerdo con la última edición de nuestra encuesta de seguridad, se destina, en la actualidad, en promedio, aproximadamente un 10% del presupuesto de IT a temas de seguridad informática. Las empresas con mayores presupuestos suelen ser aquellas con mayores necesidades de cumplimiento regulatorio o aquellas que, por la naturaleza de sus negocios, requieren elevados niveles de seguridad, por ejemplo, la industria financiera”.
El presupuesto
Los especialistas consultados están de acuerdo en que el cálculo del presupuesto de IT que debe destinarse a seguridad informática no es lineal. Sin embargo, Antonio Ramos estima que, en general, el presupuesto para esto debería ser, como mínimo, de alrededor del 6% e incrementarse según cuán expuesta se encuentre una organización o una industria determinada.
Sin embargo, por más presupuesto que destine una compañía a seguridad informática, de nada sirve si no va acompañado de una fuerte capacitación para los usuarios finales. “No hay estrategia de seguridad que sirva sin el apoyo de la dirección y la decisión de una gestión constante de los controles, procedimientos y usos de tecnologías. Cuando hablamos de controles de gestión, hacemos referencia a la existencia de políticas de seguridad, clasificación de la información, acuerdos o contratos con los empleados, como así también planes de respuesta a incidentes y de continuidad de negocio”, dice Ramos.
Un arma fundamental
En opinión de Pilla, la capacitación es un arma fundamental para evitar exponer a las empresas a riesgos innecesarios; “Hay múltiples herramientas que colaboran en la detección y eliminación de las amenazas. Sin embargo, la más importante continúa siendo la educación del usuario. Si el usuario tiene la capacidad de decidir con autonomía qué es riesgoso y qué no, la prevención será mucho más efectiva. Muchas veces, una organización muy restrictiva alienta a los usuarios a intentar evadir los sistemas. A veces, es mejor reducir las restricciones, pero monitorear las actividades”.
Más allá del factor humano, también es necesario que las compañías presten atención a la actualización del software: un programa sin los parches de seguridad instalados puede darle más de un dolor de cabeza al directorio.
“Si no se hace un adecuado seguimiento y remediación de vulnerabilidades, si no se monitorean los eventos, por ejemplo, se hace extremadamente difícil prevenir, detectar y responder a los ataques”, explica Gil.
Se trata de que a las herramientas típicas, como firewalls y antivirus, se las acompañe de una debida gestión y la estrategia más apropiada para cada organización y el nivel de sensibilidad de sus activos informáticos. “Desde ya, luego entra el factor de la capacidad económica de la organización para implementarla y los factores culturales, entre otros. De la combinación de esos elementos se obtendrá la estrategia ideal. No existe un molde único”, concluye Risi. La vulnerabilidad informática demuestra que su mejor respuesta es la flexibilidiad.
EL CRONISTA