Ciberseguridad y COVID19: El aumento de la curva de los ciberdelitos

Una columna de Ines Leopoldo

En esta oportunidad Ines Leopoldo, actual Partner en Neolabels, anterior CEO de Terra, Telefónica y Miembro del Board de YPF, se suma a nuestro blog con una columna enfocada en el contexto actual de la pandemia COVID-19 y la importancia de ciberseguridad.

Ciberseguridad: la gestión de un riesgo ineludible

La digitalización de los procesos operativos de cualquier industria están permitiendo nuevas oportunidades para mejorar la productividad y reducir los costos.

Simultáneamente, están siendo modificados los límites tradicionales entre los sistemas de información corporativos (IT) y los sistemas de control industrial (ICS/OT) – sistemas informáticos utilizados para gestionar las operaciones industriales en oposición a las operaciones administrativas (IT).

A medida que esta digitalización avanza, también abre a las empresas a una nueva gama de riesgos cibernéticos. Sin embargo, la mayoría de las mismas no han mantenido el ritmo en términos de su preparación ante los mismos.

Ya sea que una brecha cibernética sea intencional o no, las consecuencias pueden ser graves, desde comprometer la información confidencial hasta desencadenar una falla o caída del sistema, con la consecuente disminución de los ingresos, daños a la reputación, desastres ambientales, sanciones legales y, en casos extremos, pérdida de vidas.

El año 2017 vivió algunos de los ciberataques más notables en la historia reciente, con millones de consumidores y miles de empresas afectadas, como Equifax y Uber.

En particular, el 12 de mayo de ese año comenzó una infección masiva de equipos a nivel mundial, tanto de personas como de organizaciones, donde la causa fue un malware del tipo ransomware que bloqueaba el acceso a los archivos del computador afectado y solicitaba un rescate para permitir el acceso.

Ese día supone un punto de inflexión en la sensibilidad respecto de la definición de ciberseguridad y del riesgo. El ataque ransomware WannaCry afectó a más de 200.000 sistemas en 150 países alrededor del mundo.

Aunque el mismo no fue diseñado explícitamente para dirigirse a los sistemas de control industrial, logró infiltrarse en las redes y en algunos casos significó inactividad de los procesos industriales.

Los datos muestran que el número de personas objetivo en los ataques es alto y destaca que dentro de las organizaciones no se debe subestimar la amenaza de la seguridad interna, por ejemplo alguien que inserta una memoria USB en una PC industrial e infecta a los sistemas de control.

Las amenazas cibernéticas se encuentran entre las principales preocupaciones de los directores ejecutivos, de acuerdo con la reciente Vigésima Tercera Encuesta Global de Directores Generales (CEOs) de PwC realizada entre los meses de septiembre y octubre de 2019, a partir de entrevistas con 1.581 máximos directivos de todo el mundo.

A nivel global la incertidumbre es una preocupación central (da título al reporte), incluso previo a la pandemia del coronavirus que se vislumbró en todas las geografías analizadas, siendo en el ranking los conflictos comerciales y la incertidumbre económica las que ocuparon el 2 y 3 lugar luego de la siempre primera posición de “sobreregulación”.

Aunque, las percepciones varían significativamente dentro de las diferentes regiones; mientras que para los directivos de Norteamérica las ciberamenazas están – desde hace años – a la cabeza de sus preocupaciones, en Latinoamérica ni siquiera se encuentran entre sus diez primeras donde el populismo lidera la tabla.

Frase de CEO
Fuente: Vigésima Tercera Encuesta Global de Directores Generales de PwC

Asimismo, la Encuesta Global de Percepción del Riesgo Cibernético de 2019 de Marsh y Microsoft analiza el estado de las percepciones de riesgo cibernético y la gestión de riesgos en organizaciones de todo el mundo.

En general, la preocupación de las empresas por el riesgo cibernético aumentó desde 2017, sin embargo la percepción de su capacidad para gestionar el riesgo ha disminuido.

Globalmente, las organizaciones exhiben disonancia entre su percepción de un riesgo de máxima prioridad y su enfoque a gestionarlo, centrándose más en tecnología y prevención que en priorizar el tiempo, recursos y actividades necesarias para construir ciber resiliencia.

A pesar de adoptar la tecnología y la innovación digital, las organizaciones tienen una considerable incertidumbre sobre el grado del riesgo cibernético que traen las nuevas tecnologías.

Si bien todos intentamos acostumbrarnos a la “nueva normalidad” de la pandemia de Covid-19 en nuestro trabajo y en nuestra vida hogareña, este año ha sido una oportunidad sin precedentes para los ciberdelincuentes.

La respuesta global a la pandemia, y nuestro deseo de obtener la información más reciente al respecto, ha sobrealimentado los modelos comerciales habituales de hackers de correos electrónicos de phishing y sitios web falsos.

Tanto Interpol como Europol han advertido sobre el fraude durante el COVID-19. A mediados de abril, Google informó que en solo una semana, detectó más de 18 millones de correos electrónicos diarios enviados por Gmail de malware y phishing relacionados con estafas de Covid-19, adicionales a 240 millones de spam diarios.

Esto da una idea de cuánto trabajo queda todavía por hacer dentro de las empresas. Muchos directores no confían en que la gerencia maneje las amenazas cibernéticas.

Asimismo se vuelve a confirmar que porcentualmente los incidentes atribuidos a piratas informáticos, competidores y otros intrusos han disminuido.

Sin embargo, los atribuidos a personas (insiders) con información privilegiada, tales como empleados, proveedores, consultores y contratistas, y terceros relacionados, se han mantenido más o menos iguales (según distintas fuentes superior al 30%).

Gráfico
Fuente: Vigésima Tercera Encuesta Global de Directores Generales de PwC

Claramente, hay mucho trabajo por delante y es esencial que se tomen medidas para identificar los riesgos, con políticas y procesos rigurosos y protocolos de emergencia administrando esos riesgos para que la empresa esté en la mejor posición en orden de asegurar la continuidad de sus operaciones, aún ante el inevitable evento de ataque.

Por ello y cada vez más frecuentemente ciertos entes reguladores, en especial aquellos que rigen a las compañías que cotizan en los mercados de capitales como la SEC empiezan a exigir mayores precisiones en cuanto las acciones preventivas, controles o políticas específicas de cada compañía en cuanto a ciberseguridad.

Por último, debemos entender que la ciberseguridad no es solo responsabilidad exclusiva de un sector especializado de la compañía, como puede ser Sistemas o Seguridad de la Información, es un trabajo en equipo de todas las áreas operativas de la misma y debe ocupar un lugar destacado en la agenda de la alta Dirección fundamentalmente a través de la integración en la gestión de riesgos de la organización y en las políticas aplicables.