En mayo del 2017, el mundo sufrió un hackeo global sin precedentes que afectó a miles de empresas, bancos e instituciones públicas, luego que el ransomware “Wannacry” se infiltró en los archivos de más de 200,000 usuarios de 179 países, logrando así secuestrar los datos sobre clientes, pacientes y/o proveedores.
En el Perú, se reportó un ataque similar con un programa llamado Double Pulsar, el cual aprovecha la misma vulnerabilidad de Wannacry para afectar a los sistemas. Ante esta situación, se considera que estos ciberataques son solo el inicio de lo que podría ser un hackeo a gran escala.
En este escenario, surge una pregunta ¿cómo vienen protegiéndose las empresas e instituciones peruanas de los ataques cibernéticos?
“Muchas empresas revisan sus políticas y procedimientos de seguridad informática a fin de confirmar el nivel de aplicación de los mismos. Muchas veces, es la falta de disciplina en la aplicación de controles ya establecidos lo que deja vulnerable a una compañía”, señaló Elder Cama, socio de Consultoría de EY Perú.
Agregó que estas revisiones les permiten a las empresas poder identificar posibles brechas en sus sistemas, las cuales dependiendo de su complejidad, podrían ser superadas en el corto, mediano o largo plazo.
La última encuesta de EY Perú sobre ciberseguridad muestra resultados alarmantes acerca de la situación del país respecto al resto del mundo, ya que en el Perú, solo el 7% de las empresas encuestadas considera que es probable que su organización detecte un ataque sofisticado a tiempo.
Por otro lado, a nivel global, un 16% respondió que incrementará el presupuesto relacionado con seguridad cibernética entre 15% y 25%; mientras que en el panorama nacional el 74% respondió el mismo intervalo de incremento.
Según Cama, esta es una señal de que los altos directivos de las empresas empiezan a darse cuenta de la importancia de proteger sus activos críticos en la red.
“El reto de las empresas en el Perú, para estar preparados ante un ataque cibernético, radica en identificar sus activos críticos (propiedad intelectual, información personal, información financiera, estrategias, transacciones, etc.), aumentar la conciencia sobre ciberseguridad de los ejecutivos, contar con especialistas proactivos, aumentar el presupuesto para estos fines y finalmente formar profesionales con una cultura de prevención. Sólo de esta forma, la empresa será competitiva en una sociedad en red”, comentó.
Precisó que los principales motivos que dificultan le efectividad de los sistemas de seguridad son la falta de recursos especializados y las restricciones de presupuesto.
El 93% de encuestados a nivel Perú manifestaron que se gasta menos de US$ 1 millón en los controles de seguridad de información. “Es necesario comprender los riesgos que esto implica, que los nuevos escenarios se construyen junto con la tecnología, que la seguridad debe ser proactiva y no reactiva, y que es importante destinar presupuesto a seguridad cibernética”, anotó.
La encuesta de EY refleja que el nivel de sofisticación en las áreas de TI de las empresas locales varía considerablemente dependiendo de la industria. Así, las entidades financieras y de comunicaciones tienen un alto grado de sofisticación en TI debido a que sus clientes y el mercado así lo exigen.
Mientras que la mejor forma de proteger los activos críticos de la organización en la red es anticipando ataques y estableciendo una Defensa Activa.
“Esto implica elevar el nivel de conciencia sobre ciberseguridad en los ejecutivos del negocio y de TI, contar con especialistas permanentemente actualizados que estén un paso adelante de los cibercriminales y, de ser necesario, recurrir a especialistas que los ayuden a dar estos primeros pasos”, indicó Cama.