Ana María Muñoz: “Las nuevas herramientas tecnológicas implican una vulnerabilidad mayor en ciberseguridad”

El mundo ha cambiado con el avance de la tecnología, para bien y para mal. Y en ciberseguridad se trabaja nuevas formas de hacer frente a los ataques.

Newsletter exclusivo para suscriptores

Gisella Salmón selecciona notas exclusivas con un enfoque especializado, cada lunes.

Recíbelo

MIRA: Este invento cambiará la agricultura: crean un robot inspirado en el ciempiés para eliminar maleza

Ana María Muñoz es Senior Director de FTI Consulting, tiene una amplia experiencia en tratar asuntos de ciberseguridad y se ha especializado en el manejo de crisis, así como el manejo de la comunicación.

Y es que no se trata de una situación común. Los ciberataques a organizaciones han hecho necesario el uso de términos como cibercrisis o resiliencia organizacional, temas que Muñoz tratará en el evento tecnológico “Reiniciando sistema” de Number6.

MIRA: Samsung amplía su ecosistema de hogar inteligente con tres lavadoras monitoreadas con IA

- ¿Qué podemos entender por una cibercrisis hoy en día?

Una cibercrisis es una situación crítica que es provocada, precisamente, por incidente de ciberseguridad y que puede impactar gravemente la estabilidad de una empresa, por supuesto su reputación y, en consecuencia, la confianza de los grupos de interés.

Ahora, ¿qué configura una cibercrisis que sea distinto a una crisis tradicional? Primero, las cibercrisis son crisis que están en constante evolución, lo que hace más difícil anticipar lo que va a suceder, los siguientes pasos de la crisis o incluso prevenir que se materialice ese riesgo.

Segundo, en caso de un ataque, por ejemplo, es muy probable que las organizaciones tengan que tratar con un actor desconocido y cuyas amenazas, además, son impredecibles. Tercero, muy probablemente las organizaciones tengan la obligación de notificar a autoridades, entes reguladores de una situación que de por sí no es del todo clara para la empresa.

Cuarto, están en juego y en riesgo datos confidenciales o información altamente sensible de las organizaciones. Cinco, es una crisis en la que es imperativo coordinarse con grupos multidisciplinarios, como equipos legales, equipos forenses, equipos de tecnología, incluso gobierno corporativo.

Seis, te podría mencionar que en la mayoría de los casos las decisiones se toman sin tener mucha claridad de la situación o incluso el tamaño del impacto y de lo que está pasando.

MIRA: Chrome dejará de funcionar en antiguos iPhone y iPad: estos son los modelos afectados

Siete, algo muy común es que hay muchos aficionados a estos temas -hackers, por así decirlo-, que están monitoreando medios, que están monitoreando la dark web y pueden descubrir que efectivamente haya un incidente de ciberseguridad, incluso antes que la organización, y eso pues pone un poco en riesgo la reputación obviamente de la empresa porque la puede exponer de manera anticipada. Y, por último, las crisis cibernéticas requieren una planificación mucho más exhaustiva y mucho más del día a día porque no estamos muy seguros de las investigaciones que rodean el caso que nos van a revelar.

- ¿Cuáles son los peligros actuales en cuanto a ciberseguridad que enfrentan tanto personas como empresas?

Mira, nosotros hablamos de las cibercrisis como el covid. Y voy a hacer esta analogía porque ya la pregunta no es si me va a dar o no me va a dar, sino cómo. Es una situación en la que lamentablemente tarde o temprano nos va a pasar.

Y el punto esencial es qué tanto nos preparamos para detectar a tiempo, contener y mitigar cualquier impacto.

Varios informes indican que las brechas de seguridad tienen un componente humano muy alto, cerca del 60% a 70%. También, los temas de ciberseguridad se deben precisamente a ese error humano: caídas en phishing, contraseñas débiles, es decir, la responsabilidad de nosotros como personas frente a la ciberseguridad sigue siendo muy alta, pero tampoco podemos negar que es imposible de contener esta situación simplemente pensando en tecnología. Digamos que, en esencia, por más antivirus y protección tecnológica que tengamos, debemos anticipar que ese clic humano o ese error humano pues hace que sea demasiado difícil estar 100% seguros.

Por eso nosotros hablamos de la importancia de estar preparados o, por así decirlo, vacunados para detectar un incidente y actuar de manera rápida, ordenada, eficiente y así poder mitigar no solo el riesgo operacional, sino por supuesto el riesgo reputacional al que se puede ver afectado una organización por estos temas. Para eso, ¿qué es indispensable? Pues conocer mis riesgos, tener mis protocolos de crisis muy claros, roles, responsabilidades precisas, digamos estar muy bien organizados en las empresas de tal manera que cuando se materialice efectivamente ese riesgo, que así va a suceder, pues ya sepamos cómo administrarlos.

MIRA: Tan solo estas dos marcas acaparan casi el 50% del total de las ventas mundiales de celulares

- ¿La inteligencia artificial (IA) complica más prevenir un ciberataque?

Evidentemente el uso de las nuevas herramientas tecnológicas implica una vulnerabilidad mayor en temas de ciberseguridad. A medida que involucramos e interiorizamos más herramientas tecnológicas dentro de la organización, pues, digamos que hay un riesgo mayor y más vulnerables somos.

Pero, el caso de la IA, me atrevería a decir que también es una herramienta que podríamos llamar de doble filo porque puede ser un gran aliado para prevenir también las crisis, puede prevenir incidentes, anticipar amenazas, monitorear, dar respuestas automáticas, incluso aislar y, digamos, apalancarnos nosotros en la inteligencia artificial como un aliado para protección ante la ciberseguridad. Pero, por otro lado, también la inteligencia artificial desde el lado del ciberataque, pues. se usa para apalancar ataques mucho más sofisticados, engaños mucho más creíbles y en general ponernos en una situación pues mucho más vulnerable.

Es una herramienta que así como nos sirve mucho para anticiparnos y para prevenir temas de ciberseguridad, también nos pone en una situación vulnerable, y estará también el componente humano en cómo saberlo manejar.

- La tecnología está en constante cambio. ¿Cuánta cultura de ciberseguridad hay en las empresas y en general en los ciudadanos?

Hoy por hoy la seguridad y la cultura de la ciberseguridad es uno de los mayores desafíos que enfrentamos. Digamos que la tecnología avanza a una velocidad que no se corresponde con la habilidad que tenemos los personas ni las organizaciones de adaptar a esos hábitos, a ese mismo ritmo.

Como dato importante, hoy el cibercrimen equivale a la tercera economía del mundo, después de Estados Unidos y China, y con una tasa de crecimiento de más del 15%. Cada 39 segundos ocurre un ciberataque en el mundo y más del 60% de las empresas pymes cierran en menos de 6 meses cuando esto sucede.

MIRA: Este invento cambiará la agricultura: crean un robot inspirado en el ciempiés para eliminar maleza

Entonces, ¿qué es lo importante ahí? Que aunque para las organizaciones hay una prioridad en temas de ciberseguridad, muy pocas organizaciones consideran que cuentan con una cultura madura. Ahí hay un parangón, por así decirlo, porque yo veo en la ciberseguridad como una responsabilidad, como una prioridad en mi organización, pero todavía creo que es una responsabilidad solo de TI [Tecnologías de la Información], no siento que yo tenga todavía la cultura tan avanzada y pues eso pone en riesgo obviamente a la organización. Súmale a eso que en Latinoamérica estamos todavía más rezagados que en el que en el resto del mundo. Solo en Perú se ha multiplicado por nueve las ciberamenazas y eso se debe en parte a que somos la región menos preparada para entender estas crisis. Dos, somos una región que está poco sensibilizada, poco educada en estos temas, no le vemos valor a la preparación desde una mirada multidisciplinaria.

Y por último, pues obviamente somos una región que le ha faltado regulación o, por así decirlo, la regulación es ineficiente. Ya vemos movimientos en México, en Brasil, en Chile. En Perú ha habido algunas iniciativas, más de protección de datos que de ciberseguridad en estricto sentido, pero somos una región que digamos esos tres componentes nos ponen un poco en desventaja y en una situación vulnerable con el resto del mundo.

- ¿Qué se debe tomar en cuenta para proteger una organización o anticiparse a un ciberataque?

Te voy a dar tres tips claves para una adecuada preparación.

Uno, hay que evaluarnos y diagnosticar a la organización: ¿cómo estamos? Naturalmente que en temas de infraestructura tecnológica, o sea, tengo toda la tecnología bien estructurada, todos mis antivirus, todos mis parches de seguridad, digamos, desde el punto de vista tecnológico y de infraestructura de la organización, a punto, bien puesta, bien hecha. Eso hay que evaluarlo, pero también hay que evaluar cuáles son mis riesgos, cómo están mis procesos de acción, de decisión, de gestión de crisis en estricto sentido. Hay que evaluar eso en la organización como primer paso.

MIRA: Un hombre fue detenido por usar las Ray-Ban Meta: grabó a mujeres sin su consentimiento en Barcelona

Como segundo paso, hay que perfeccionar los planes que tenemos. ¿Perfeccionarlos en qué sentido? Tener protocolos de comunicación en crisis y de gestión de crisis por ciberseguridad claros, que se que se hablen con planes de continuidad de negocio, que se hablen con matriz de riesgo de la organización, que se hablen con el manual de crisis de manera general, pero tener protocolos de comunicación en crisis claro que te define roles, responsabilidades, grupos de interés, criterios de escalamiento, comités de crisis, flujo de decisiones y aprobaciones.

Esto suena como obvio y no lo es. Las organizaciones no tienen eso claro y gestionar la crisis durante las crisis puede ser muy caótico que una organización no sepa quién toma la decisión, quién tiene la última palabra, quién es el comité, cómo se activa, a quién llamo. Parece obvio, pero la verdad es que día a día nos enfrentamos a organizaciones que se ven en esta situación y ni siquiera saben quién debe hacer qué. Y eso al momento de la crisis puede ser un caos porque cada minuto cuenta y si nosotros no estamos preparados para saber quién se debe activar y cómo, pues eso es lo que pone en riesgo obviamente mayor la operación y el impacto reputacional.

Y por último, la práctica hace el maestro. Es decir, la mejor manera de interiorizar estos planes, aplicándolos en la forma más orgánica posible, es poniéndolos a prueba. ¿Y cómo los ponemos a prueba? A través de simulacros. Eso va a ayudar, uno a de detectar debilidades, fortalezas y dos, a perfeccionar esos protocolos y a estarlos actualizando. En conclusión, tres tips, diagnostique la organización, perfeccione sus planes de acción y practique.

MIRA: Llegan los primeros Juegos Olímpicos de robots humanoides: así serán las pruebas y quiénes participarán en Olimpia

- ¿Por qué resiliencia organizacional?

Digamos que la resiliencia organizacional no es otra cosa que esa capacidad de la organización para anticipar y prepararse y responder acertadamente a las crisis o, más bien, esa habilidad que tiene una empresa para resistir golpes sin quebrarse o para recibir esas crisis y salir fortalecida de ellas.

No se trata solo de sobrevivir a una crisis, sino de ser capaz de anticiparlas, actuar de forma ágil, inteligente, estratégica, preparada, transparente y salir fortalecida de esa situación. Esa situaciones que sean una unas experiencia que nos sirve va de cara al futuro.

Las crisis hay que verlas también como unas oportunidades. Y a partir de esas oportunidades hay que saber construir. Y eso es la resiliencia organizacional, esa capacidad que tiene la organización para resistir una crisis y salir fortalecida de ella y para eso la preparación va a ser clave.