ENTREVISTA | "Hay que tomar las medidas necesarias para asegurar la tecnología"

Hace unas semanas se presentaron los resultados del Informe de Riesgos Mundiales 2019 del Foro Económico Mundial. Y aunque se señala la existencia de un deterioro en las condiciones económicas y geopolíticas, las amenazas cibernéticas y los riesgos ambientales son las que más preocupan a los tomadores de decisiones, y por consiguiente tendrán impacto a futuro en la población.

Conversamos con Edson Villar, líder regional de Ciberseguridad de Marsh Rehder, sobre cómo la tecnología ha ido ganando un papel preponderante en la percepción de los riesgos en el mundo.

¿Cuál es la evaluación que hace Marsh Rehder sobre este estudio?
Nosotros, junto con otras empresas, colaboramos con la elaboración del estudio además del Foro Económico Mundial. Lo que vemos es que el tema de los riesgos en cuanto a la probabilidad y el impacto que pueden generar, no solo a nivel personal sino a nivel global, van evolucionando. Particularmente, en el 2019 los resultados han sido muy interesantes porque dos riesgos asociados a tecnología - el fraude de datos y el robo de datos- han subido al top 5, en cuanto a la probabilidad de ocurrencia. Eso es una tendencia a nivel global y esto lo refleja. Pero además, en el top 10 están los ciberataques y la interrupción de infraestructura crítica asociados a temas tecnológicos. De hecho en ambos casos, lo superan temas relacionados al clima o desastres naturales.

¿Y cómo la ciberdependencia de nuestros días podría tener un impacto ante estas situaciones?
En los últimos años hemos visto que la ciberdependencia se ha ido incrementando y la tendencia es que siga creciendo, porque la evolución tecnológica y la dependencia de procesos en tecnología hacen que estos se vuelvan mucho más críticos. Entonces, ahora el problema es depender de la tecnología y no tomar las medidas necesarias para asegurarla y esto es algo que tendrá un fuerte impacto en las compañías e incluso en nuestras vidas. 

¿Cómo podría afectar el tema de la ciberdependencia a una empresa que tiene cada vez más procesos automatizados?
Lo que las empresas hacen ahora es automatizar los procesos, no solo a través de la robotización sino a través de la inteligencia artificial. La supervisión de estas actividades, por parte de los bots que están ejecutándolas, se vuelve clave y no solamente ver que el bot haga las cosas bien, si no revisar que no haya sido alterado o vulnerado para realizar alguna lógica diferente a la que estaba programada, son las bases en las que tienen que trabajar las empresas hoy en día. Dependiendo de la industria el riesgo o la afectación pueden ser diferentes si estás hablando, por ejemplo, de temas de manejo industrial. 

Hace unos años hubo situaciones muy serias respecto a temas de seguridad, orientadas a empresas [los ataques de ramsomware como Wanna Cry]. Se supone luego de ello la lección estaba aprendida. ¿Estamos hoy expuestos a ataques similares? ¿Se seguirá intentando secuestrar la información, o de repente se prevé que la agresión cibernética tenga otra estratégica?
De hecho el tema del ransomware es un problema global y el manejo/control de estas situaciones no es nada sencillo. Las organizaciones por lo menos, las que están más orientadas, más maduras en sus capacidades de ciberseguridad, han tomado las medidas necesarias, quizás no para no ser afectadas sino para responder de maneras más rápidas que antes. Sin embargo, aún tienes en el mercado, particularmente en Latinoamérica, una falencia de, por ejemplo, planes que puedan tener las organizaciones para responder a ciberincidentes, porque sienten que el nivel de exposición no lo requiere o actualmente, no es una prioridad en la organización o sienten que realmente con todo lo que han implementado están bastante maduras como para evitar que pueda suceder uno de estos ataques. Lo que vemos en el mundo o lo que te dice la experiencia es que no es que uno ponga las medidas necesarias y no vaya a ser vulnerado, sino que esto hace que el impacto sea mucho menor.

¿El comportamiento de una fuerza laboral más joven, normalmente con costumbres más laxas en cuanto a los temas de seguridad podría convertirse en una amenaza para las empresas?
Eso es un dato interesante y claramente, los millennials o centennials, efectivamente viven integrados a la tecnología y en nuestro país, región, en temas educativos del uso de la tecnología, no es algo muy común. De hecho, se lo dejamos muy a cargo de la misma persona que se encarga/desarrolla estos temas, pero no va más allá. Claramente, estas personas sienten que el límite entre el trabajo y su vida personal ya no existe, el problema es que si no tienes el mismo cuidado en tu vida personal con estos ítems es probable que pueda afectar tu trabajo y es una realidad.

Ante las potenciales amenazas que tienen que ver con la tecnología ¿cómo deben responder los gobiernos?
Esa es una realidad y particularmente las entidades que están en el sector defensa o de seguridad nacional, tienen que hacer un trabajo muy fuerte para construir las capacidades en términos de ciberseguridad, sobre las instituciones. Fuera de ellas sí debería haber un acompañamiento muy estricto en términos de regulación respecto la infraestructura crítica y el monitoreo que van a permitir detección de manera temprana y respuestas de manera coordinada como país. De hecho, en algún momento se habló de un plan de seguridad nacional y en nuestro país sigue en proceso, debe reforzarse y convertirse en una realidad. 

¿Cuál es el peor escenario que podría proyectarse en el futuro, según el informe? ¿Qué es lo peor que podría pasar con respecto a ciberataques?
El estudio nos expone que los ciberataques como tal son los que van a generar más impactos en un puesto 7 de los 30 riesgos evaluados, seguidos por los ataques a la infraestructura crítica. Con lo cual, un ataque a esta infraestructura, que pueda ser muy complejo definitivamente puede detener un país, plantas eléctricas, plantas de agua potable como Sedapal. En un país como el nuestro donde tenemos una capital muy centralizada vas a tener un impacto muy grande sobre la población.

¿Cuál sería la recomendación teniendo en cuenta el resultado de este estudio?
Aquí hay tres temas muy importantes: Primero, que las altas gerencias tienen que tomar el tema de ciberseguridad como parte de su función, no dejárselo a un área de tecnología o de seguridad. Ellos mismos deben asumirlo y tomar parte de ello. Ya no es una responsabilidad aislada, debe asumirse desde arriba y bajar hacia la organización. De hecho, cualquier colaborador puede abrirle la puerta a un atacante, no necesariamente un área tecnológica. Dos tercios de los encuestados dijeron que las noticias falsas iban a ser una fuente de ciberataques. Segundo, las empresas deben hacer unas evaluaciones de los riesgos de ciberseguridad, de lo contrario podemos implementar cosas que no son necesariamente adecuados a nuestra organización. En todo lugar, los recursos son limitados, por ello es importante tener claro dónde invertir para menguar nuestros principales riesgos. Tercero, es importante tener como premisa que un ciberincidente es inminente.