CIBERSEGURIDAD

1. ¿Qué es la ciberseguridad?

Según los profesionales en seguridad de ISACA (Information Systems Audit and Control Association) la
ciberseguridad se define como una capa de protección para los archivos de información, a partir de ella,
se trabaja para evitar todo tipo de amenazas, las cuales ponen en riesgo la información que es procesada,
transportada y almacenada en cualquier dispositivo.

La ciberseguridad trata de trabajar en robustos sistemas que sean capaces de actuar antes, durante y
después, no sirve solo para prevenir, sino también dar confianza a los clientes y al mercado, pudiendo así
reducir el riesgo de exposición del usuario y de los sistemas.

2. ¿Cuál es el mejor programa de concienciación en ciberseguridad?

El poco tiempo, la falta de disponibilidad de los empleados para realizar formaciones presenciales y el
presupuesto, son algunos de los problemas a los que la mayoría de empresas se enfrentan cuando
deciden realizar concienciaciones masivas. Pero hoy en día, estos no deben ser motivos para no llevar a
cabo un plan. Existen muchos y muy diversos recursos que solventan dichos inconvenientes y que
ponemos a disposición de nuestros clientes. Veamos algunos de ellos:

 E- learning: disponemos de plataforma propia y además de los cursos de concienciación, contamos

con recursos como píldoras y gamificación focalizados en temáticas concretas.
 Pruebas de ingeniería social: son pruebas en las que, a través de técnicas de engaño controlados,
lanzamos campañas simulando las acciones de un auténtico Hacker, consiguiendo impacto directo y
generando entre los empleados una mayor predisposición para la concienciación. Realizamos desde
envío de phishing mail o mensajería instantánea, códigos QR, accesos Wifi, acceso físico, etc.
 Material digitalizado: salvapantallas, noticias relacionadas con el mundo de la seguridad, infografías,
etc.
 Otros recursos: material en soporte papel como cartelería, dípticos, decálogos, guías de buenas
prácticas, etc.
 Presenciales: además de los talleres de concienciación típicos, tenemos un tipo de taller llamado Live
Hacking en el que se realizan ataques en directo demostrando lo vulnerables que somos cuando
utilizamos diferentes sistemas tecnológicos en el día a día así como los riesgos a los que exponen a la
compañía si no aplican buenas prácticas en seguridad. También llevamos a cabo eventos de una
jornada o media jornada, que llamamos “Security Day” donde se podrían integrar este tipo de talleres,
para que asistan los empleados.

3. ¿En que deberían pensar las empresas cuando protejan el lugar de trabajo?

Las organizaciones suelen ignorar tres áreas cuando piensan en la ciberseguridad.

 Protección y seguridad física. El bienestar de los empleados debería liderar la estrategia de
ciberseguridad de todas las empresas. Puede no parecer intuitivo si se piensa en la ciberseguridad, o
puede que la mayoría lo considere muy cibernético. Pero la creciente prevalencia de los dispositivos
del Internet de las Cosas (IdC) ha difuminado la línea entre la seguridad física y la ciberseguridad.
Como las cámaras de seguridad inalámbricas que se gestionan a través de una interfaz web o una
cerradura inteligente que se abre a través del smartphone de un empleado, ¿cuándo dejan las cosas
de ser físicas y pasan a ser cibernéticas?
 Muchas empresas cuentan con controles ambientales y de seguridad físicos tradicionales, pero estos
grupos están desconectados de los que son realmente capaces de resolver problemas reales. En la
era del IdC, los equipos informáticos y la ciberseguridad son los responsables de las medidas de
rehabilitación. En el trabajo, estos sistemas suelen compartir la misma red de recursos que el resto de
las empresas. Conectar los dispositivos IdC a la red principal es arriesgado porque proporciona un
punto de entrada para que posibles atacantes accedan a los recursos de la red corporativa.
Los sistemas vulnerables también pueden utilizarse para acceder a sistemas de control industrial (ICS,
por sus siglas en inglés) con una seguridad muy pobre. Las organizaciones que ejecutan
infraestructura crítica o fabricación en ICS, deben realizar una búsqueda profunda de todos los
sistemas involucrados. Estas redes también deberían intentar mejorar la ciberseguridad.
 .Conocimiento de la situación de los activos y datos. La mayoría de las infraestructuras de
ciberseguridad deben conocer los activos (incluidos los datos) que tiene una organización: los
sistemas y aplicaciones que procesan los datos, quién tiene acceso y dónde se encuentra. Un análisis
de los riesgos de ciberseguridad basado en activos conocidos permitirá determinar de forma más
rigurosa las posibles amenazas. De esta forma, la organización puede centrarse en los aspectos más
importantes de sus recursos de ciberseguridad.

 Concienciación y formación en ciberseguridad

La concienciación va más allá de la detección y catalogación de activos. Debería consistir en una
formación continua a los empleados sobre las políticas, las amenazas actuales y cómo enfrentarse a
estas amenazas. Debería prestarse especial atención a la ingeniería social, que sigue siendo el vector
de ataque más común y exitoso.
Las organizaciones no deberían ofrecer formaciones genéricas, sino que deberían orientarlas según el
puesto de trabajo y realizar sesiones personales y entretenidas. Contar historias y exponer juegos
educativos que apoyen los conceptos de la concienciación. En resumen, no debería de ser un simple
examen.
Un buen programa es una mezcla de módulos presenciales/impartidos por
instructores, online/autodidactas. Recopila siempre métricas para mostrar los puntos fuertes y débiles
de los programas de concienciación en seguridad.

4. ¿Con que frecuencia deben informar los empleados de actividad sospechosa?

Los equipos de ciberseguridad preferirían tener informes de los empleados con falsos positivos que
esperar hasta que algo “sospechoso” se manifestara en forma de una gran amenaza. Pero antes los
empleados pueden informar de actividad sospechosa, necesitan ser capaces de identificar lo que se
considera sospechoso.

Una formación en ciberseguridad y sus materiales deberían definir los incidentes sospechosos mediante
ejemplos, además de mostrar cómo y cuándo realizar un informe. Los incidentes se pueden informar de
distinta forma según la organización: mediante el servicio de asistencia informática, a través de una
dirección de correo electrónico que genera una solicitud para los equipos de seguridad o informando
directamente a los directores.

Una vez que los empleados son capaces de identificar e informar sobre actividad sospechosa, lo
próximo es establecer una política de respuesta a incidentes, que debería resumir los procedimientos y
responsabilidades de los empleados cuando se enfrente a un incidente.

Recuerda que es mejor informar sobre todo lo que ves, ya que es más fácil frenar algo en sus inicios,
que gestionar una crisis en plena efervescencia.
5. Ciberseguridad en el Perú

La inversión que realizan las empresas peruanas en la protección de la información de sus clientes y
consumidores, conocido como ciberseguridad, solo asciende al 0.07% del producto bruto interno (PBI)
del país, afirmó el gerente general de Kepler, Hugo Galilea.
“Es una inversión baja comparada con la que realizan otros países industrializados, como Estados
Unidos y Australia, cuyos niveles alcanzan el 0.20% de su PBI”, aseveró.
De acuerdo con Galilea, una de las razones por las que no destinan mayores recursos a este tema es
por la creencia de que los ciberdelincuentes son locales y pueden ser fácilmente controlados.
“En la actualidad, las bandas de ciberdelincuentes atacan en todo el mundo”, advirtió.

EXPANSIÓN

Explicó que hace 10 años se concentraban en Estados Unidos, pero ahora se han expandido por todo el
mundo, precisamente porque ese país aumentó los recursos para ciberseguridad, lo que obligó a estos
delincuentes a buscar otros mercados más vulnerables.
El gerente general de Kepler sostuvo que hoy se puede observar un mayor interés de las empresas
locales por mejorar sus sistemas de ciberseguridad.
“Hay una serie de herramientas que las empresas pueden manejar y adecuar a sus necesidades”,
manifestó.
Puntualizó que solo el 20% de las empresas peruanas invierte en ciberseguridad, por lo que es
necesario trabajar en un mayor despliegue de información para mejorar estos índices.

DATO

* Este año se ha registrado un incremento de 600% en los ciberataques realizados a empresas.