Una estrategia de seguridad que integre una infraestructura tecnológica cada vez más proactiva, con el recurso humano, los procesos y una permanente capacitación, sobre la base de las mejores prácticas organizacionales y el marco legal, constituyen las claves expuestas por McAfee en el Foro de Ciberseguridad para el Gobierno y organismos públicos.
El evento contó con la participación de Scott Montgomery, Vicepresidente y Chief Technology Officer (CTO) para el Sector Público de McAfee, quien se refirió al contexto global que deben enfrentar las organizaciones actuales, insertas en un entorno de mayores vulnerabilidades e incertidumbres producto de la masificación en la conectividad, expresada por tendencias como la Internet de las Cosas (IoT), Big Data, Cloud Computing y la movilidad de los usuarios.
Reportes de la industria revelan que actualmente existen 12,5 billones de dispositivos conectados a Internet y se estima que para el año 2020 habrá unos 50 billones, equivalente a 7 unidades por persona, debido, entre otras cosas, a la creciente conectividad de los hogares, automóviles e incluso la vestimenta. Al mismo tiempo, las amenazas en la red también crecen, como lo grafica el reciente informe de McAfee Labs donde, por ejemplo, se visualizó un 70% de incremento de URLs sospechosas en el año 2013 o el incremento de un 10% de servidores web que almacenan contenido riesgoso, sólo en Latinoamérica, entre otros.
“En este escenario, los departamentos TI están expuestos a un aumento en la carga y complejidad de sus funciones, a una disminución de presupuestos, a cambios de prioridades y a menores recursos y tiempo para capacitación, todo ello mientras crece el número y la complejidad de los ataques y amenazas, generando como resultado una gran ineficiencia. A ello se suman problemas estructurales como la multiplicidad y subutilización de los data centers, entre otros”, sostuvo Montgomery.
Para el ejecutivo, las consecuencias de esta problemática se ven reflejadas en un estudio de Verizon, donde se revela que sólo el 20% de aquellas empresas que sufrieron un incidente lograron descubrirlo en un rango de horas o días, mientras que el 80% restante tardó semanas, meses e incluso años en reconocer que su información estaba comprometida. Esos porcentajes se replicaron cuando se consultó por el tiempo que demoraban en reparar las vulnerabilidades que causaron ese daño.
En el ámbito privado, estas falencias pueden facilitar ciberataques que en casos como la banca o el retail pueden generar millones de dólares de pérdidas y un irreparable daño en las operaciones y la reputación frente a sus clientes y el mercado. En el ámbito gubernamental el peligro puede ir desde la apropiación indebida de los datos de los ciudadanos para usos comerciales o delictivos, afectando gravemente su privacidad; hasta poner en riesgo aspectos tan sensibles como la seguridad nacional -en caso del terrorismo- o la interrupción de servicios críticos como la energía, infraestructura, salud o las comunicaciones.
Una efectiva estrategia de ciberseguridad al interior de las organizaciones públicas y privadas debe centrarse en el recurso humano, ya que se puede invertir considerables cifras en los mejores sistemas de seguridad para proteger desde la red hasta los endpoints, pero está comprobado que el 80% del malware ingresa por el descuido de los usuarios, como es el caso de los correos electrónicos o el mal uso de sus dispositivos personales en el trabajo. “Se trata de un aspecto cultural, pues los ciberdelincuentes siempre apuntan a la debilidad y a aquellos sistemas de gran crecimiento como es el caso de Android,” afirma el VP de McAfee, Scott Montgomery.
Al respecto, Juliana Salazar, Directora de Ventas para el Sur de Latinoamérica de McAfee, sostiene que “estamos viendo que las ciber amenazas tienden a concentrarse en los dispositivos móviles, abriendo nuevas brechas y afectando a personas, empresas e incluso Gobiernos. Sin embargo, el desafío no está en limitar la movilidad, sino mas bien implementar estrategias, políticas de seguridad, herramientas de gestión y fundamentalmente sensibilizar a los usuarios.”
Para la ejecutiva, resulta vital capacitar y concientizar sobre la importancia de la información y los datos que se manejan al interior de las organizaciones, fundamentalmente en aquellos funcionarios encargados de recopilar, almacenar, visualizar y gestionar ese recurso, para que sean parte integral de los procesos, conozcan los “ciclos de vida” de la seguridad y el cumplimiento de las mejores prácticas y normativas legales dentro de un entorno evolutivo.
Francisco Carrasco, CIO America Latina