Ninguna compañía está 100% protegida de vulnerabilidades informáticas hoy en día, por lo que la ciberseguridad debería ser prioritaria incluso para quienes se sientan más preparados. A pesar de que la guerra contra los hackers no parezca tener un fin próximo, Menny Barzilay, experto en ciberseguridad que tuvo a su cargo los servicios de inteligencia de las Fuerzas de Defensa de Israel, prefiere afrontar el reto con optimismo: mediante el perfeccionamiento de los procesos de seguridad e intentando hacer visible la información real y certera detrás de los ataques.
Barzilay será el encargado de inaugurar la próxima edición de IT Masters Con: Monterrey, la conferencia organizada por Netmedia que convoca a más de un centenar de ejecutivos IT del más alto nivel en la capital de Nuevo León. La temática de este año —los nuevos negocios digitales y su impacto— debe estar apuntalada, en opinión del experto, necesariamente por la ciberseguridad.
Con la charla “Cibersecurity and the Future of Connected Things”, Barzilay intentará llevar a la audiencia más de 20 años de experiencia en seguridad informática pero con un enfoque en el futuro: frente a las nuevas tecnologías, tipos de empresa y sofisticación de las amenazas, ¿qué puede hacer una organización para estar protegida? El cofundador y actual director ejecutivo de la consultora en ciberseguridad FortyTwo Global es además CTO del Centro Interdisciplinario de Investigación Cibernética en la Universidad de Tel-Aviv y presidente de Cympire, una empresa de seguridad cibernética centrada en las tecnologías de creación de capacidad.
Tomarse la seguridad en serio
Cuando Menny llega a una compañía a realizar una evaluación de su seguridad informática, suele sorprenderse porque algunas de las cosas más triviales y básicas no están implementadas, o por lo menos no de la forma correcta.
“He visto casos impresionantes, desde grandes bancos en Europa, pasando por compañías de seguros en EE.UU. y manufactureras en Asia. Aunque sea una empresa líder, usualmente cuenta con muchos elementos de ciberseguridad que no funcionan. Ni siquiera es un tema de inversión. A veces invierten millones, decenas de millones o más pero no cuentan con procesos y sistemas elementales de seguridad”, relata el experto, quien también funge como asesor estratégico de empresas líderes en todo el mundo, así como de estados y gobiernos.
Uno de los ejemplos que menciona es que las organizaciones no tienen todos los archivos de registros, o no cuentan con un sistema que permita correlacionar de forma efectiva esos registros. “Nos pasa en repetidas ocasiones que llegamos a una compañía después de que su seguridad haya sido vulnerada y nos damos cuenta de que no tienen la información que necesitamos para ayudarlos a mitigar los riesgos”, detalla.
Lo que puede despertar sorpresa en la actualidad es que la ciberseguridad siempre está presente. Noticias de vulneraciones a sistemas y fuga de información no dejan de aparecer en la prensa, los CIO califican año tras año a la seguridad entre sus prioridades, y sin embargo sigue siendo un elemento al que muchas compañías no le dan la importancia que merece.
En opinión de Barzilay, existen dos razones principales detrás de este fenómeno: las organizaciones no están respetando lo suficiente a los hackers, y están fallando en ver a la seguridad como una problemática a nivel de empresa, relegándola a los departamentos de Sistemas.
“Lo primero que debemos aceptar es que esta tarea es muy difícil. La seguridad no es fácil de ejecutar ni fácil de alcanzar. Hay muchas cosas que pueden funcionar mal y cada una de ellas puede crear serios daños en las organizaciones. Aun si inviertes en tener al mejor equipo y las mejores políticas, no va a ser fácil conseguir estar protegido”.
De acuerdo con el experto, a veces la administración y el consejo directivo creen que la ciberseguridad es un problema tecnológico: creen que el CISO o el CIO son quienes deberían estar a cargo de la ciberseguridad, pero esto está muy lejos de ser cierto. La tecnología hoy solo es un aspecto de la ciberseguridad.
“Te doy un ejemplo: un sitio web fue hackeado y el hacker vendió todos los passwords y nombres de usuario. El aspecto técnico de esto es muy simple. Es fácil entender qué fue hackeado y cómo mitigar las consecuencias del acto, pero ahora hay un montón de elementos actuando que no tienen que ver con la tecnología; cómo liberas esta información al regulador, qué le dices a tus clientes y mediante qué canales, cómo manejas tus relaciones públicas, cómo trabajas con tu compañía de seguros, junto con un largo etcétera. A veces tienes que negociar con el hacker que te robó cierta información y amenaza ahora con publicarla a menos que pagues. Hay muchos aspectos que no están relacionados con tech, y creo que las compañías hoy tienen que entender eso: la ciberseguridad es un problema tecnológico, pero a la vez es siempre un problema del negocio”, explica el experto.
Otro elemento de conflicto es que el hacker ya no es un adolescente con mucho tiempo operando desde el sótano de sus padres mientras bebe cerveza y ve caricaturas. Las compañías no siempre están conscientes de que las organizaciones cibercriminales están en el presente muy bien financiadas, cuentan con muchos recursos tecnológicos y humanos, y además son capaces de estudiar durante meses a una compañía antes de atacarla.
“Hay dos puntos principales que me gustaría que los asistentes al IT Masters Con: Monterrey se llevaran desde mi charla. El primero es que la innovación y la ciberseguridad son dos lados de la misma moneda. Cada nueva interfaz, cada nueva solución crea también desafíos de ciberseguridad. El segundo es que no es un problema tecnológico, sino del negocio y la organización en su conjunto debería tenerlo claro siempre. Los desafios del futuro, por lo menos en ciberseguridad, son mucho más grandes que los que ya hemos enfrentado”, concluye el experto.
