Las empresas enfrentan cada vez más desafíos en materia de cumplimiento normativo, regulaciones y gobernabilidad .
Por Orlando Gómez
Colombia ocupó la sexta posición entre los países más atacados por ransomware a nivel mundial en 2022. Fueron más de 15.5 millones de embestidas hacia sectores como la educación, los bancos y el comercio minorista locales. Eso dice el Informe de Amenazas Cibernéticas 2023 de SonicWall. Una cifra realmente aterradora, que pone a pensar a los empresarios acerca de la necesidad de poner más protección a su principal activo: los datos.
“Es una situación que evidencia la necesidad de actualizar tanto los mecanismos como las estrategias de notificación y reporte, interacción entre usuarios, empresas y gobiernos para actuar de manera coordinada, resiliente y con la mejor preparación ante las amenazas de ciberseguridad”, dice Álvaro Giraldo, gerente regional de ventas Andino y Cono Sur de SonicWall.
Más allá de contar con técnicas para evaluar riesgos, jornadas de capacitación a empleados, utilización de firewalls y actualizaciones periódicas, las organizaciones deben además enfocarse en aplicar los conceptos de gobernabilidad, riesgo y cumplimiento (GRC) para garantizar que se cumplen las leyes, regulaciones y estándares aplicables.
Además de minimizar los riesgos y maximizar la eficiencia en la gestión de la seguridad de la información, los conceptos GRC ayudan a las organizaciones a analizar los riesgos, establecer un marco de cumplimiento y planear las auditorías de seguridad. También sirve para gestionar los incidentes y definir y aplicar las políticas de seguridad.
“Solo aquellas empresas que hayan adoptado prácticas de cumplimiento y gobernanza tendrá practicas de ciberseguridad más sólidas y confiables, así como más beneficios derivados de sus inversiones en tecnología”.
LEYES, DECRETOS Y CIRCULARES
Empecemos por contextualizar ‘El Deber’, replica Giraldo, al hacer referencia a los elementos jurídicos que existen en Colombia para la ciberseguridad. Eso incluye la Ley 1581 de protección de datos personales, la Ley 1273 de Delitos Informáticos, El Conpes 3701, el Conpes 3995 y varias circulares, tales como la famosa 007 de la Superfinanciera.
“En la práctica, el enfoque es dar cumplimiento a lo exigido por las leyes y regulaciones”, continúa el ejecutivo de SonicWall. “Dicha aproximación puede traer consigo puntos ciegos donde existen riesgos en activos que no están cubiertos por los alcances de las leyes y —por ende— no han sido evidenciados ni tratados”.
SEGURIDAD EN LA NUBE
Una de las áreas por donde ingresan las amenazas es la nube. Para asegurar este entorno, las empresas se valen de una serie de marcos normativos tales como el Reglamento General de Protección de Datos (RGPD), para la Unión Europea; leyes de protección de Datos Personales aplicables a cada país; y la Ley de Privacidad en la Nube (Cloud Act), cuando los proveedores de nube están basados en Estados Unidos, entre otros.
Sin importar su ubicación, las organizaciones están adoptando cada vez más la norma ISO 27001, que establece los requisitos para un sistema de gestión de seguridad de la información al igual que la NIST SP 800-53, que establece los controles de seguridad que deben implementarse para proteger la información en la nube. Además de estos marcos normativos, las empresas también deben considerar prácticas de seguridad recomendadas por organizaciones de la industria tales como la Cloud Security Alliance.
“Son muchas las empresas que utilizan la nube para almacenar una gran cantidad de datos, lo que la convierte en un objetivo tentador para los atacantes que buscan acceder a información confidencial o robar datos valiosos”, dijo Praveen Sengar, CEO de ETEK International. “Y como estas organizaciones utilizan proveedores de servicios en la nube, entonces están compartiendo la responsabilidad de la ciberseguridad con un tercero, lo que puede generar vulnerabilidades si no se tiene una gestión adecuada”.
OBJETIVO: GENERAR CONCIENCIA
Es que el número de ataques a redes basadas en la nube se ha disparado, con un aumento del 48% entre 2021 y 2022, según Security Report 2023 de Check Point Software. “El cambio en la preferencia de los ciberatacantes por escanear el rango de IPs de los proveedores de la nube, pone en evidencia su interés en la obtención de un acceso fácil a la información sensible y los servicios críticos de estos entornos”, dice el informe.
Vamos a ver un aumento en el volumen de ataques durante los próximos doce meses, revela Antonio Amador, Country Manager para la Región Norte de Latinoamérica de Check Point Software.
“La migración a la nube ha creado una superficie de ataque más amplia para los ciberdelincuentes, y las herramientas legítimas que utilizamos se convertirán aún más en el foco de los ciberataques”, considera Amador.
“Esto ya se ha demostrado en el caso de ChatGPT, con los ciberdelincuentes rusos tratando de eludir las restricciones de la API de OpenAI y obtener acceso al chatbot por razones maliciosas. Si a esto le añadimos la creciente brecha de habilidades cibernéticas y la creciente complejidad de las redes distribuidas, tenemos la tormenta perfecta para los ciberdelincuentes», prosigue el directivo de Check Point Software.
Así las cosas, las organizaciones debe ser capaces de evaluar el estado actual del cumplimiento regulatorio, las políticas de seguridad, el análisis de riesgos y la gestión de incidentes con el fin de identificar marcos normativos relevantes, minimizar el riesgo y evaluar los controles de seguridad existentes.
“Solo aquellas empresas que hayan adoptado prácticas de cumplimiento y gobernanza tendrá practicas de ciberseguridad más sólidas y confiables, así como más beneficios derivados de sus inversiones en tecnología”, finalizó Praveen Sengar.
“Además, tendrán mayor conciencia acerca de la importancia de la ciberseguridad y de la necesidad de proteger adecuadamente sus datos. Esto se traduce en una mayor inversión en recursos y en una cultura de seguridad más fuerte, lo que a su vez reduce el riesgo de sufrir un incidente de ciberseguridad”.
“La migración a la nube ha creado una superficie de ataque más amplia para los ciberdelincuentes, y las herramientas legítimas que utilizamos se convertirán aún más en el foco de los ciberataques”.