«No importa el tamaño de la empresa: es obligatorio tener una estrategia de ciberseguridad»
Juan Carlos Carrillo es experto en ciberseguridad y Director en Cybersecurity, Privacy & Forensics en PwC México. Está certificado como Profesional de Privacidad de la Información (CIPT), Ingeniero Certificado en Soluciones de Privacidad de Datos (CDPSE), Certificado como Administrador de Identidad y Acceso (CIAM) y Certificado en Seguridad en la Nube (CMente todoCSK). Apasionado y conferencista de temas relacionados con tecnología y seguridad de la información, nos comparte sobre la importancia de la ciberseguridad dentro de las empresas... y de los despachos.
Juan Carlos, En México se registró más de 80,000 millones de intentos de ciberataques en los primeros seis meses del 2022. Las cifras son perturbadoras ¿consideras que sea una obligación de la empresa contar forzosamente con políticas de ciberseguridad? y ¿qué es lo más valioso que se tiene que proteger dentro de estas?
Claramente, lo vimos a partir de la propia pandemia, la necesidad de los recursos digitales son necesarios, si no los tenemos habilitados y bien fundamentados el riesgo que corremos es no estar preparados para el día en que ocurra un incidente. No importa el tamaño de la empresa ya sea chica, mediana o grande, es obligatorio tener una estrategia de ciberseguridad y también de responsabilidad social, en inglés se conoce como Environmental Social and Governance (ESG) y muchas empresas lo están buscando.
El tema de ciberseguridad cumple con lo social y gobierno corporativo dentro de la empresa.
Respecto al valor, este no lo decide la persona técnica ni la persona de ciberseguridad si no el negocio. Por lo que si yo fuese una empresa de logística, por ende los planes de logística se conocen como las joyas de la corona y son las que se tienen que proteger.” Además de lo anterior también es importante la protección de datos personales y de la propiedad intelectual. ¿Cuáles son los riesgos que corren las empresas al no contemplar las políticas ?
“Al menos hay 3 riesgos muy fuertes:
- Reputacional, si el día de mañana un inversionista, proveedor o un cliente observa que no tengo lo necesario para proteger la información puede verse dañada mi reputación.
- Económico. hay un dato que a mí me gusta mucho utilizar del IBM, es el reporte del costo de fuga de información, el de este año en particular menciona la cantidad de $164 dólares por la fuga de datos, el cual comparto la matemática que yo normalmente hago, por ejemplo si una empresa tiene 5000 clientes y 2000 empleados la multiplicación de ese número por los $164 da un resultado X, ese sería el riesgo potencial de por la fuga de datos de modo que el presupuesto que se designe para TI tiene que estar relacionado con el. Un error muy común, es invertir un porcentaje más bajo al presupuesto destinado al área de tecnologías de la información, recomiendo que es fundamental, realizar la matemática. Por otro lado, pensando en el peor de los casos, un ataque de ransomware, pasó algunos meses en Costa Rica, donde el gobierno no podía cobrar impuestos debido a que gran parte de su infraestructura había tenido un ataque. Entonces se habla de una pérdida económica porque no puedo llevar a cabo el negocio ya que no tengo los sistemas para operar. En caso que el riesgo de una empresa sea de 1000,000 (un millón de pesos) por no operar un día… Imagínate que sean 2 días, 3 días o hasta 5 días. ¿Cuánto riesgo quieres asumir como organización, sumando el daño de su reputación?
- Multas, las autoridades pueden suspender las actividades de la empresa así como incurrir en implicaciones legales, que a su vez, tiene relación directa con lo reputacional y económico.”
Es un dato impactante, el costo por fuga de información según el reporte de la IBM, así como los riesgos de la empresa. ¿Cuáles son las recomendaciones de ciberseguridad que toda empresa debería considerar?
- La cultura dentro de la empresa respecto a los altos directivos, deben involucrarse más con el área tecnológica o de seguridad para entender o buscar entender los riesgos.
- Evaluaciones de seguridad, por medio de pruebas de penetración, análisis de vulnerabilidad y riesgo, en el caso de privacidad un PIA ( Privacy Impact Assessment), se necesita hacer una revisión para saber el estado actual, esto se relaciona con el primer punto.
- Un sistema de monitoreo, para tener conocimiento del estado de “salud” tecnológica. En ocasiones es difícil contar con un presupuesto para el monitoreo, por tanto se empieza protegiendo lo más importante de la empresa “las joyas de la corona”, de ahí en adelante hasta poder cubrir todo.
- Plan de respuesta a incidentes, se tiene que contar con un plan de acción para estar preparados al peor escenario.