Bancolombia
Preguntas y respuestas sobre ciberseguridad empresarial durante la pandemia, en webinars de Capital Inteligente e IE Business School.
Más allá de lo que han sido las preocupaciones históricas de las empresas como las ventas, el mercadeo o la producción, llegó la ciberseguridad para convertirse en un tema en el que los ejecutivos de hoy tienen que pensar de aquí en adelante.
En la Internet los riesgos han aumentado y son riesgos, de acuerdo con el Foro Económico Mundial, de los más importantes que tiene la sociedad. La protección de los datos, garantizar la privacidad y adoptar políticas y modelos en ciberseguridad ya no es opcional.
Los ejecutivos tienen un nuevo panorama retador, que no solo implica aprovechar las oportunidades que hay con la transformación digital acelerada -que estamos viviendo por cuenta del aislamiento social-, sino que conlleva asumir y prevenir los riesgos y amenazas inherentes de esa tecnología que hoy soporta las dinámicas laborales y personales en el mundo.
Los ataques cibernéticos son cada vez más sofisticados, abundan las noticias falsas, y ante la situación sanitaria por la que pasamos, hay desconocimiento, incertidumbre y búsqueda de respuestas de las empresas y, por supuesto, de las personas, de lo que se valen y aprovechan los ciberdelincuentes.
Una reflexión que abordaron Mauricio Botero, vicepresidente de Servicios Administrativos y Seguridad del Grupo Bancolombia, y Ramsés Gallego, profesor de la maestría en ciberseguridad en el IE Business School y director internacional de Security, Risk and Governance de la compañía Micro Focus. Reviva su charla y descubra el rol de los líderes en este contexto y las medidas que pueden tomar.
Cualquiera sea el sector productivo al que pertenezca la industria, hay que proteger y defender la información, los datos. ¿Cómo hacerlo? Para iniciar todo proceso de ciberseguridad deben formularse y responderse estas cinco preguntas básicas: quién tiene acceso a qué, dónde (tanto origen como destino) y cuándo.
Hacerse esas preguntas correctas, en el momento correcto y a las personas correctas es el punto de partida. Y tener el control y visibilidad inequívoca de qué pasa por las redes de la empresa, desde los diferentes vectores de entrada y salida, permitirá lograr el objetivo de la seguridad informática.
Los líderes deben conocer tres cosas, fundamentalmente: el entorno, las amenazas y cuáles son esos controles que tienen para proteger su compañía, a nivel corporativo y personal.
En el entorno, deben tener claro cuál es la información valiosa para proteger, saber dónde está, quién tiene acceso a ella y cómo accede, para poder definir cómo protegerla. Un entorno empresarial estará compuesto por clientes, empleados, proveedores, aplicaciones, hardware, redes y la información misma.
No se puede proteger lo que no se conoce y no se puede mejorar lo que no se controla. Por eso, hay que saber cuánto vale esa información que se quiere proteger. Por ejemplo, saber qué valor tienen los datos de los clientes o en cuánto está valorada la base de datos de la cadena de suministro. Esto permitirá definir cómo se protege, pues ya se sabe cuál es el riesgo asumible por la empresa si esa información es víctima de hurto, pérdida o suplantación.
En cuanto a las amenazas hay de diferentes tipos y entre las más frecuentes están: phishing, smishing, ataques en las nubes, ataques a equipos y dispositivos móviles, malware y ransomware.
Asimismo, el líder debe conocer qué controles usar. Hay controles muy específicos para proteger la identidad, los dispositivos, las redes, las aplicaciones y los datos. Un segundo factor de autenticación sirve, por ejemplo, para el tema de la identidad; los antivirus protegen los dispositivos; el firewall está diseñado para defender las redes y las políticas de respaldo de la información ayudan en cuanto a aplicaciones y protección de datos, entre muchos otros controles que hay en el mercado.
Hay que aclarar que, si bien el ejecutivo de hoy probablemente no se encargue directamente de la gestión de estos controles de ciberseguridad, sí debe saber cuál es su entorno, cuáles son las amenazas y cuáles son los controles que tiene y cómo están funcionando actualmente.
Tal vez le interese leer: Control Dual: un esquema de seguridad para que las transacciones de su empresa tengan un doble factor de autenticación con 2 usuarios y token diferentes, para quien las prepare y apruebe. Conocer más
Definir el apetito de riesgo de la empresa y con base en ello crear la estrategia de ciberseguridad y retroalimentarla.
Precisar los focos de trabajo de esa estrategia, la aspiración que se tiene y los temas transversales.
Elegir el modelo de seguridad o frameworks de ciberseguridad que sirva como referencia para ser utilizado según la estrategia definida.
Poner a las personas en el centro de la estrategia. Hay que cuidar su información (la de los clientes, proveedores, empleados…) y, además, son quienes materializan la estrategia. Las personas son finalmente quienes dan el clic al correo sospechoso o lo eliminan.
Garantizar una visibilidad transversal todo el tiempo. La inteligencia y el monitoreo continuo se vuelven factores fundamentales en todo este proceso de protección.
Saber priorizar las inversiones en ciberseguridad de acuerdo con el diagnóstico actual de la empresa.
Este panorama retador para los líderes empresariales implica también que, de ahora en adelante, deberán considerar en los presupuestos de las compañías un plan de inversiones en ciberseguridad, que probablemente crezca a una tasa superior a la que crecen otras líneas de inversión, ¿por qué? Porque cada día hay más amenazas y ataques cibernéticos y prepararse para enfrentarlos requiere de inversiones significativas.
Ese plan de inversiones debe ser definido desde dos frentes para que sea eficiente:
Para atender lo inmediato:
hay riesgos que no dan espera y vulnerabilidades que deben ser resueltas cuanto antes porque pueden ser aprovechadas por los ciberdelincuentes. Aquí debe priorizarse en función del riesgo.
Para avanzar en el futuro:
estas serán las inversiones que permitirán que a mediano y largo plazo la empresa cuente con un modelo sólido en ciberseguridad, con mejoramientos estructurales y donde se encuentran todas las iniciativas de transformación para llegar a esa aspiración que tiene la estrategia
La única forma de saber si se está haciendo bien la tarea en ciberseguridad es probando continuamente a la empresa a través de equipos internos y con ayuda de terceros. Hay que hacer escaneos de vulnerabilidades y realizar hackeos éticos. Una vez se conocen las vulnerabilidades, hay que priorizarlas e iniciar nuevamente el recorrido de amenazas, de riesgos, de foco, de plan de inversiones y volver a probar. Es un círculo virtuoso.
Le recomendamos leer: El eslabón suelto de la ciberseguridad: el empleado
Cryptojacking. Básicamente es cifrar el disco del computador o dispositivo mientras se navega en él para hacer minería de criptodivisas y criptomonedas como bitcoin. La máquina se vuelve extremadamente lenta porque alguien está utilizando el 95% de su poder computacional.
Formjacking. Es un tipo de ataque que usa un formulario de los que se suelen diligenciar para hacer las compras por internet. Este es un ataque que se llama “the man in the middle”, es decir “un alguien en el medio”, y consiste en impersonarse como el comercio, impersonarse en el tráfico para robar el dinero y los datos de la tarjeta de crédito. Este es un ataque que afecta a 4.800 empresas cada mes.
Business Email Compromise. Como su nombre indica es comprometer el correo corporativo, impersonarse como el director financiero o la responsable de compras con un sentido de urgencia, con un sentido de “ahora mismo”, “hazlo ya o no cerramos ese negocio”, “envíame esta transferencia o no podemos pagar las nóminas de este mes”. Y si alguien se dirige al departamento de contabilidad o financiero y el requerimiento parece ser pedido por el director general o la responsable de finanzas, muchos pueden caer.
La ciberseguridad no es solo un tema de tecnología, las personas son su centro. ¿Qué personas? Todas las implicadas. La ciberseguridad no es un problema de las áreas de seguridad informática o de las áreas de tecnología, es un asunto de toda la organización, de todo su ecosistema de empleados, clientes, proveedores, y demás participantes del entorno de negocios.
¿Cuáles son las tendencias y los retos que está enfrentando el sector automotriz? Conozca el panorama y los datos más relevantes con nuesto especialista del sector.
Únete a la conversación, te invitamos a compartir este artículo.
Muy importante. Estos contenidos son para todos. No cobramos a quienes nombramos. Las fuentes de terceros no comprometen el pensamiento de nuestro grupo. Es responsabilidad del lector el cumplimiento de las normas y fechas que le apliquen.
Te mostramos en detalle algunos de los bancos que se han destacado por seguir el impulso digital e innovar con sus servicios, como por ejemplo la banca digital. Sigue leyendo.
Actualmente, más de 100.000 personas juegan ajedrez en línea gracias a la serie Gambito de Dama, lo que significa que el contenido entretenido y de valor en Netflix engancha a los consumidores y puede emplearse como canal de influencia para las marcas.
Según el Reporte de Industria realizado por Blacksip -empresa de consultoría y sevicios digitales- el e-Commerce se encuentra en su fase inicial en toda Latinoamérica,
Recibe cada mes un boletín con los artículos de tu interés.
¿Cada cuánto quieres recibir contenido?
Conoce los Términos y condiciones sobre el uso de la información.