En el mundo un 32% de las empresas fueron víctimas de un ataque; en Uruguay se aprecia un incremento de demanda por cursos de capacitación, consultoría, servicios y personal experto.

En 12 mayo el virus WannaCry desató una alarma mundial. Más de 350.000 operadores —empresas, particulares y administraciones— de 180 países se vieron afectados por un ransomware (cibersecuestro) que encriptaba los documentos de los equipos y pedía un rescate a cambio de descifrarlos. Muchas empresas quedaron paralizadas por algunos días.

Este hecho trajo luz sobre una problemática mundial: a medida que crece la digitalización de la información, aumenta el riesgo de ser víctima de un ciberataque. Y lo que es peor, se incrementa la «criticidad» de los mismos, es decir, que el ataque llega a impedir la actividad total de las compañías, indicó Marcelo Cagnani, gerente senior de consultoría en tecnología de la información (TI) de KPMG. «El mundo se encuentra en el máximo histórico en materia de vulnerabilidad. Hay más amenazas y pueden generar más fallas», aseguró.

El estudio CIO Survey 2017 de Harvey Nash y KPMG (que consultó a unos 4. 500 ejecutivos tecnológicos de todo el mundo) reveló que un tercio de los responsables de TI (32%) dijo que su organización sufrió un ciberataque importante en los últimos 24 meses, lo que representa un incremento de un 45% con respecto a 2013.

Y la industria de la ciberseguridad lo siente. Según publicó El País en mayo de este año, un estudio de Gartner reveló que el mercado de la protección informática (antivirus, expertos, intervención de urgencia, mantenimiento) aumentó un 7,9% entre 2015 y 2016 y alcanzó los US$ 81.600 millones. Y para este año podría llegar a los US$ 120.000 millones.

A nivel mundial, esta realidad ha llegado al extremo de que muchas empresas se «ciberfatiguen» (sienten la necesidad de invertir constantemente para estar un paso adelante, pero con la duda de si es suficiente), dijo Cagnani, aunque aclaró que Uruguay está lejos de eso.

A nivel local no hay datos sobre la cantidad de empresas víctimas de incidentes informáticos porque éstas en general deciden no reportar incidentes, indicó Cagnani. De todas formas, aseguró que se percibe un incremento de los ataques denominados «críticos» frente a años anteriores.

Pese a que se nota un incremento del interés por protegerse, muchas empresas no tienen claro cómo hacerlo. De hecho, el informe CIO Survey 2017 reveló que solo 21% afirmó estar «muy bien» preparado para responder a estos ataques, en comparación con el 29% de 2014.

Según los expertos del sector, si bien se ve concientización sobre este tema, muchas veces no es «suficiente» porque llega de la mano de la obligatoriedad, ya sea para cumplir con alguna normativa (como la ISO 27.001 de gestión de la información), porque se lo exige un cliente potencial o una directiva de la casa matriz en el caso de las multinacionales.

Esto puede derivar en una mala gestión, porque no basta con adquirir un buen antivirus, sino que la clave radica en concientizar a toda la empresa sobre esta problemática, coincidieron expertos locales. «Las empresas ya invierten miles de dólares al año en antivirus, en tener un buen firewall, hacer back up de la información, pero no es un tema de recursos sino de conciencia, que los empleados y la organización entiendan los riesgos. Muchas veces las empresas reaccionan cuando les pasa algo y es tarde», dijo Reynaldo de la Fuente, director de Datasec.

Para Hugo Köncke, principal de Security Advisor, solo con tecnología no se arregla el problema, sino que la clave es «generar conciencia». «El problema es que no se sabe qué es lo que puede suceder en materia de ciberataques».

Otras veces, los empresarios locales no dimensionan la problemática porque Uruguay no es un país «atractivo» para los ciberdelincuentes. Pero la naturaleza de las amenazas —bajo costo y una potencialidad de llegada muy importante— transforma a las empresas locales en víctimas indirectas, dijo Mauro Flores, experto en ciberseguridad de Deloitte.

Por esto, la contratación de consultorías, servicios de «hackeo ético» (atacar a la empresa para conocer las debilidades), mejorar la gestión de la seguridad, sumar expertos a sus equipos o tercerizar total o parcialmente los servicios, son algunas de las soluciones que comienzan a ser demandadas.

Los expertos coinciden que uno de los errores más comunes en que incurren las compañías es creer que los ataques informáticos provienen del exterior. Pero el informe de KPMG reveló que el principal enemigo vive bajo el mismo techo: el mayor incremento en términos de amenazas procede de los ataques dentro de la empresa (creció de un 40% a 47% del total en un año). «Con o sin intención de ocasionar un daño, los propios empleados pueden ser la mayor amenaza», dijo Cagnani.

De hecho, uno de los servicios que más creció en Datasec es el asesoramiento externo, consultoría y capacitación, aseguró su director. «La preocupación mayor de las empresas es interna, viene de la fuga de información. Notamos un incremento por pedido de cursos, auditorías internas, por hackeo ético», amplió.

Otras empresas, en cambio, optan por capacitarse pero delegan la responsabilidad de la seguridad informática a compañías expertas. Así lo ve IBM Uruguay, que desde hace un par de años registra un incremento en la demanda y las consultas por servicios de este tipo, aseguró Charles Ware, especialista de ciberseguridad de la tecnológica.

El experto indicó que, en su caso, se incrementaron los pedidos y la contratación de servicios de consultoría y soporte, pero sobre todo «el de gestión de la seguridad». «La mayoría de las empresas no son de gran porte y, por lo tanto, no pueden tener un equipo propio de seguridad y lo contratan. Desde este año ofrecemos un ‘gestor de la seguridad de la información y de eventos’ (SIEM, por su sigla en inglés) que instala entre los sistemas de la compañía e Internet, que monitorea en todo momento la actividad que llega desde el exterior. Si se percibe una actividad irregular en el sitio, inmediatamente lo para y lo deja sin efecto», explicó.

Otra de las opciones, sobre todo en empresas de gran porte, es contratar un oficial o experto de seguridad dentro de la compañía. En la consultora KPMG comenzaron a recibir pedidos por personal con este perfil a inicios de este año.

María Laura Volpi, responsable de consultoría en capital humano de KPMG, dijo que si bien aún son pocos y no se han incorporado las personas a las posiciones hasta el momento, lo relevante es que ya se está identificando por parte de las empresas la necesidad de contratar especialistas en el tema. Además, en aquellos casos que no cuentan con recursos para incorporarlos al equipo, se ha tomado la opción de capacitar a los funcionarios.

Al respecto, Flores entiende importante que el experto no esté directamente ligado al equipo de TI de la empresa. «Lo mejor es que sea parte del área de riesgo de la organización u otra, dependiendo del área. Lo importante es que tiene que depender de la gerencia y ser alguien capaz de trasladar la visión de riesgo a toda la empresa», aseguró el consultor de Deloitte.

Ya sea un phishing (robo de identidades o de informaciones confidenciales mediante un engaño), ransomware, o malware (los principales ataques que se registran), las empresas locales no están ajenas a los ciberataques. No tomar cartas en el asunto puede llegar a desconectarlas del mundo.

Uno de los problemas que afecta a las empresas es tratar a la seguridad informática de la misma manera que la seguridad física, aseguró Mauro Flores, experto en ciberseguridad de Deloitte. «Son totalmente diferentes; lo que en una puede ser un gran peligro para la otra no. Alguien que comete un robo en lo digital puede llevarse todo en poco tiempo y con poco esfuerzo, y en el mundo real no. Por ejemplo, no se puede robar todos los cajeros del país al mismo tiempo, pero en el mundo digital se pueden vaciar todas las cuentas de una institución en un instante, y lo puede ser una sola persona», graficó.

INFORME