La transformación digital en la industria minero energética implica asumir un costo: el de una mayor exposición a los ataques cibernéticos. Expertos analizaron cuáles son los riesgos y cómo enfrentarlos.
“El cibercrimen es un delito más rentable que el narcotráfico”, indicó Christiam Garrat, socio de Risk Advisory en Deloitte Perú, durante su presentación del bloque de ciberseguridad de la decimotercera edición del XIII Simposium de Tecnologías de la Información, Telecomunicaciones, Automatización y Robótica (TICAR) 2022. “El volumen financiero de daños generado por la ciberdelincuencia llegará a US$ 100,000 millones en el 2025”, aseguró, y el Perú no es ajeno a estos eventos: entre el 2021 y el 2022, la pandemia dejó al descubierto muchas deficiencias de las empresas para adoptar la transformación digital.
“Dos años antes de la pandemia, la ciberseguridad era un riesgo crítico por debajo de los temas climatológicos. Hoy sigue siendo un tema relevante para el negocio, [solamente] superado por los de salud y sociales”, agregó Garrat. De esta manera, dio la voz de alarma al sector minero energético.
Si bien los ciberataques se han asociado tradicionalmente a las empresas financieras, Garrat señala que el sector industrial es también un objetivo de las organizaciones criminales. “Los atacantes no lanzan un ataque a diestra y siniestra, a ver quién cae. Cada vez tienen un objetivo más estructurado y sus objetivos no son solo económicos. También buscan el acceso a planes estratégicos o proyectos que se van a construir, así como a temas reputacionales, con el fin de afectar la imagen de la compañía en determinado sector”, explica el experto.
De acuerdo con Deloitte, después de la pandemia, los llamados ransomware o secuestro de datos se incrementaron en un 435%: “ La consecuencia real de sufrir un incidente de ciberseguridad es la paralización de las actividades de la empresa”, afirmó Garrat.
LAS BRECHAS DE SEGURIDAD
El 95% de los problemas de seguridad se originan por errores humanos, indica Garrat. “Es la forma más sencilla de vulnerar la ciberseguridad de las empresas. Personas que sin tener intención de hacer daño, exponen información sensible”. Pero no es la única forma. “Las principales amenazas de ciberseguridad al 2030 en la industria son la cadena de suministro comprometida, campañas de desinformación avanzada, invasión de la privacidad, mal uso de videovigilancia, y más”, enumeró. Esto incluye el llamado phishing, un ataque cibernético que roba el dinero o identidad de la persona al sustraer su información personal, como número de tarjeta de crédito o contraseñas, al digitarlos en sitios webs que fingen ser legítimos.
El desconocimiento sobre la amenaza que implican los ciberataques ya ha impulsado, por ejemplo, la demanda de 3 millones de personas con conocimiento en ciberseguridad, y, según Garrat, esta seguirá incrementándose. Las cifras de Deloitte hablan por sí solas: el 60% de las organizaciones se encuentra en una etapa inicial de conocimiento y concientización; otro 40% ya está implementando medidas, y solo un 10% está en la etapa de integración y optimización, por lo tanto, explica el especialista, el trabajo que sigue por delante es enorme.
AVANZAR HACIA LA CIBERSEGURIDAD
“Muchos siguen viendo la ciberseguridad como un tema técnico y no como un tema estratégico. El responsable de dicha función es un jefe o un analista. No es un VP, no se sienta en el comité de gerencia a discutir con los responsables de negocio”, aseveró Garrat. En su lugar, propone un CISO o Chief Information Security Officer. “Debe estar en medio de la organización, interactuando con el CIO, con el área legal, financiera, y de riesgos. Todo esto elevado a la alta dirección. Va más allá de ver aspectos operativos”, añadió.
A las palabras de Garrat se sumó la intervención de Freddy Alvarado, director de la maestría de Ciberseguridad de ESAN, quien desde la academia apuntó a otro problema: la brecha de talento humano en el sector de ciberseguridad. “Se han generado una serie de especializaciones alrededor de ciberseguridad, pero lamentablemente las organizaciones no están requiriéndolos aún de una forma idónea”, afirmó.
Pero, según Alvarado, no puede haber transformación digital en las empresas sin una estrategia de ciberseguridad. “Su objetivo es proteger la información y sus tres características: confidencialidad (para que solo las personas autorizadas puedan acceder a la información); disponibilidad de información (para cuando se requiera); e integridad de la información (para que no se modifiquen la integridad de los datos)”, señaló Alvarado.
Roberto Suzuki, Business Development Manager OT de Fortinet Latin America, comentó que los ciberatacantes van a ir siempre al punto débil del sistema o al más fácil de vulnerar. “Si ven un sistema desprotegido, van a ir por él”, señala. “Ciberseguridad no es solo una herramienta, un firewall. Los ciberatacantes pueden atacar de distintas formas, por ejemplo, una memoria USB. El firewall protege el perímetro, pero no el sistema”.
UN COMPROMISO EMPRESARIAL
“Seguridad al 100% no existe”, dijo a su turno Juan Pablo Quiñe, arquitecto de seguridad de Kyndryl Perú. “Cuando decimos: ‘Queremos que mi empresa sea segura’, ¿qué estamos esperando? Primero, es necesario definir qué tan expuesto estoy, qué brechas van a afectar a mi estrategia, qué voy a implementar a nivel de negocio, y, a partir de ahí, qué brechas podrían aparecer”, explicó Quiñe, y como muestra señala que “cada tecnología que se suma implica un nuevo reto. Cuando, por ejemplo, las empresas decidieron migrar a la nube, también trajeron un conjunto de riesgos que se han tenido que ir mitigando”.
Una vez identificado el problema se puede tomar acción. “Pero sabemos que hoy los ataques son más complejos y con muchas capas. Un antivirus ya no es suficiente. Necesitamos tener seguridad por capas. Esto nos permitirá tener ciertos niveles de protección”, indicó Quiñe, y agrega lo que, considera, son los tres elementos claves de la ciberseguridad: visibilidad, control y capacidad de respuesta.
“Hay que generar conciencia en las organizaciones. Lastimosamente, muchas empresas van a tener que vivirlo para tomar las urgencias del caso”, afirmó.
Por último, Edwin Alarcón, Past President del Comité de Tecnología e Innovación de la SNMPE, cerró el bloque con una conclusión: “La complejidad de los ataques es cada vez mayor y necesitamos incrementar nuestra velocidad de respuesta a ciberataques. Ese es el mensaje que nos debemos llevar».
Fuente: Revista Desde Adentro.