Uno de los grandes cambios que impuso la pandemia del covid-19 fue el empujar a todas las actividades productivas -pymes y grandes empresas- a avanzar en la transformación digital, incrementando a su vez la posibilidad de ser blancos de ciberamenazas, ataques que en estos últimos años han aumentado en sofisticación, tamaño y efectividad.
Como ejemplo solo basta decir que durante el año pasado México, Brasil, Perú y Colombia fueron los principales blancos de estas amenazas en América Latina sumando un total de 267 mil millones de intentos de ciberataques, tendencia al alza que también impactó en Chile, donde se calculan más de 400 millones de intentos de acciones maliciosas cibernéticas en igual periodo.
En ese contexto, un reciente trabajo de Diego Espitia, Chief Security Ambassador (SCA) de Telefónica Tech Colombia y experto de Movistar Empresas, plantea que en general las pymes y grandes firmas se ubican en cinco niveles de evolución en ciberseguridad para hacer frente a estas nuevas amenazas. Estos niveles son: Inconsciente, Reactivo, Proactivo, Anticipado y Automatizado.
"Las empresas pequeñas y medianas en este momento son las más atacadas, por lo que su nivel de riesgo es muy alto”.
Diego Espitia, Chief Security Ambassador (SCA) de Telefónica Tech Colombia
Cada uno de estos estados, plantea el experto, presenta características únicas que permiten clasificar a las empresas e instituciones dependiendo del nivel de desarrollo que tengan en materia de ciberseguridad.
Que existan estos niveles no implica necesariamente, añade el experto, que todas las organizaciones deban alcanzar el quinto estado (Automatizado) para enfrentar eventuales ciberamenazas, ya que eso dependerá básicamente de las características y tamaño de la institución.
No obstante, aclaró que “las empresas pequeñas y medianas en este momento son las más atacadas, por lo que su nivel de riesgo es muy alto”.
Como ejemplo, indicó que en Estados Unidos “cerca del 60% de las pymes afectadas por un ransomware o un DoS han cerrado en menos de 6 meses después del incidente, por lo que los riesgos a los que se exponen, si no hacen inversiones en ciberseguridad, es altísimo”.
Diego Espitia agregó que estas instituciones son blancos fáciles “primero por sus débiles controles y segundo porque se han convertido en la puerta de entrada a organizaciones más grandes” a las que muchas veces sirven como proveedores.
“Al momento de invertir las pymes deben siempre tener en cuenta que la protección nunca debe ser más costosa que el activo a salvaguardar, esto hace que la inversión sea controlada pero que cumpla con los requerimientos de protección del activo. Un ejemplo, el sistema de correo electrónico si está en la nube de Office365, puede activar los controles de seguridad y de filtrado que vienen en la plataforma, o incluso usar sistemas adicionales de la tienda para la protección, como DIARIO, para que se puedan mitigar los riesgos sin la necesidad de plataformas adicionales”, añadió.
Así las cosas, en la actualidad pequeñas o medianas empresas pueden acceder a
servicios de ciberseguridad y soporte informático 24/7, alcanzando un nivel de protección adecuado a sus necesidades. Lo importante, indica el experto, es entender esto como una inversión y no como un gasto.
Como contrapartida, añade, las empresas más evolucionadas avanzan cada vez más hacia esquemas denominados Zero Trust.
Diego Espitia explicó que aún cuando este concepto de seguridad es relativamente antiguo, las nuevas tecnologías han facilitado mucho su implementación.
“Como su nombre lo indica se fundamenta en no confiar en nada ni nadie, lo que implica que cada acción de personas o sistemas es monitoreado y comparado con acciones cotidianas o permitidas, minimizando el tiempo de la detección de comportamientos anómalos (…) Para lograrlo se requiere un buen sistema de control de acceso, donde se identifique plenamente el usuario detrás de la acción. Además, se requiere un diseño de red que garantice que desde determinadas áreas no es posible acceder a otras áreas de la empresa y así controlar el flujo y acceso a la información”.
Los cinco niveles de evolución en ciberseguridad
Nivel 1 - Inconsciente
Este es el nivel más básico de una empresa o institución y se caracteriza por basar su toma de decisiones en gestión de la información apoyándose sólo en recomendaciones o buenas prácticas del mercado.
Usualmente, indica Diego Espitia, SCA de Telefónica Tech, estas organizaciones consideran la adquisición de equipos de ciberseguridad como un gasto, no como una inversión, y se resuelven básicamente para cumplir con alguna norma del sector.
En este escenario, la adquisición de elementos de ciberseguridad muchas veces no es coherente y se hace solo para responder con los estándares básicos exigidos, sin políticas de seguridad o de gestión de la información, exponiendo la propia y la de sus clientes.
2.- Nivel 2 - Reactivo
En este nivel las organizaciones han iniciado la integración de la seguridad de la información en los ámbitos organizacionales de la empresa, entendiendo que la
ciberseguridad es pilar fundamental para el crecimiento.
La principal característica de estas organizaciones es que cuentan con un Centro de Operaciones de Seguridad (SOC por sus siglas en inglés), ya sea de forma externa o interna, permitiendo que la detección de amenazas se haga de forma reactiva en la red y basada en las configuraciones para detectarlas.
Nivel 3 - Proactivo
Las organizaciones que se ubican en este nivel ya cuentan con sistemas e infraestructuras que les permiten tomar acciones anticipadas gracias al manejo de datos y en la detección oportuna de las amenazas.
En ese sentido, agrega el documento elaborado por el experto de Telefónica Tech, no solo cuentan con un SOC, sino que también realizan un análisis de las amenazas internas y externas que se detectan en estos sistemas, para así poder implementar las mejoras en los controles y en las políticas corporativas de manejo de la información.
Nivel 4 - Anticipado
En estas organizaciones las plataformas, la arquitectura de red y los procedimientos corporativos tienen como objetivo la protección de la información y la respuesta anticipada a posibles amenazas del mundo cibernético.
En general, el equipo de seguridad depende directamente de la presidencia o junta directiva y se compone de personal capacitado para la detección, monitoreo y cacería de amenazas, con equipos de ataque y equipos de defensa que cuentan con herramientas especializadas para cada campo.
Nivel 5 - Automatizado
Según la clasificación de Diego Espitia, SCA de Telefónica Tech, este es el nivel más alto en la gestión de la seguridad de la información empresarial gracias a plataformas de automatización inteligente que usan tecnología de aprendizaje profundo para generar reacciones automáticas a las diversas amenazas o comportamientos detectados.
En este nivel las empresas aplican la filosofía de “cero confianza” (Zero Trust) en el manejo de la información y extienden los controles a todos los niveles e instancias donde se manejan, gestionan, generan o manipulan datos, sin importar si son empleados, proveedores, terceras partes, dispositivos autómatas o cualquiera que tenga acceso a estos.
