Título de la entrada del blog

Subtítulo

Graciela Ricci

En los últimos años, fundamentalmente a partir del 2010, ha aumentado significativamente la frecuencia de los incidentes de ciberseguridad, así como las pérdidas económicas que éstos ocasionan. Esto hace suponer que las organizaciones no están adecuadamente preparadas para detectar y responder en forma oportuna a este tipo de ataques, y por ende que sus estrategias de seguridad no están siendo lo suficientemente robustas como para hacer frente a esta situación, tanto en el sector público como privado.  

Las vulnerabilidades que posibilitan estos ataques pueden ser tanto internas como de terceras partes interconectadas, como ser: socios de negocio, proveedores de servicios de outsourcing, sobre todo de funciones de IT, o integrantes de su cadena de aprovisionamiento; lo cual complejiza aún más la situación.

Insólitamente, durante mi trabajo como asesora en seguridad informática en la región, he podido constatar que las organizaciones están más dispuestas a reconocer y tratar de remediar sus propias debilidades, que a exigir a los terceros que se vinculan con sus operaciones que les garanticen un nivel de seguridad y control acorde con sus necesidades.

En varias presentaciones realizadas sobre aspectos de seguridad vinculados a las prácticas de IT Outsourcing en los últimos dos años, al preguntar a los asistentes quiénes exigían a sus proveedores de servicios de IT el cumplimiento de algún estándar de seguridad específico, o que contaran con alguna certificación que lo garantizara (como pueden ser por ejemplo los reportes SOC 1, SOC 2 y SOC 3 del AICPA , o la ISO /IEC 27000  entre otros); menos del 10% contestó que sí lo hacía; y la gran mayoría de ellos pertenecían a Sectores regulados, donde el organismo regulador correspondiente contaba con ciertas exigencias al respecto.

También, podría afirmar que algunos participantes que integraban estos sectores regulados contestaron en forma negativa. Y si bien el bajo nivel de compromiso para abordar temas de seguridad IT es algo a lo que ya estoy acostumbrada, dada la realidad que hoy vivimos, específicamente con relación al cibercrimen, confieso que la respuesta me sorprendió.

Insistiendo en el tema, pregunté: “Si ustedes estuvieran pagando por una cena muy cara en un restaurante muy lujoso y los invitan a visitar la cocina, ¿aceptarían la invitación?” Inmediatamente, la audiencia contestó que sí, porque esto no les ocasionaría ningún costo adicional; a diferencia de un proveedor de IT Outsourcing que les ofreciera las certificaciones que garantizaran la calidad de sus servicios desde el punto de vista de seguridad y control; ya que éste seguramente iba a resultar más caro que uno que no lo hiciera. 

Según lo anterior, parecería ser que todo se reduce a un tema económico, que resulta más sencillo de entender en una región de economías en desarrollo como es América Latina. Pero entonces, ¿por qué siguen los problemas de cibercrimen en Europa y USA, a raíz de debilidades que presentan los proveedores de servicios? ¿Obedece solamente a repercusiones de sus situaciones económicas actuales? Yo creo que no. En el fondo, el cibercrimen es un tema nuevo, tan dinámico y volátil por naturaleza, que mantenerse actualizado en relación a éste, requiere de un esfuerzo constante que las organizaciones no quieren, o no han entendido que deben asumir. 

Este desconocimiento, a su vez, alimenta y sostiene la falta de compromiso y concientización al respecto. Creo que la situación en la que nos encontramos en relación a ciberseguridad se podría resumir diciendo: es un tema que no entendemos completamente, pero aparentemente es muy complejo y no estamos seguros de que en realidad nos importe o nos afecte.

En este contexto, los Programas de Seguridad elaborados por las organizaciones suelen ser pobres. En la mayoría de los casos no han sido desarrollados por profesionales que cuenten 
con el conocimiento técnico necesario, y tampoco se soportan con la tecnología adecuada, ni son aplicados con la persistencia y formalidad requerida para enfrentar el nivel de amenazas que hoy presenta el cibercrimen. 

Adicionalmente las inversiones realizadas en cybersecurity en general no son estratégicamente planificadas, en forma alineada a la elaboración de la estrategia del negocio, siendo esta una de las razones fundamentales por las cuales no logran satisfacer los requerimientos claves de seguridad del mismo.

Por otro lado, los atacantes cuentan con un alto grado de sofisticación tanto para perpetrar los ataques como para seleccionar sus objetivos, siendo esto último la causa fundamental de que sea prácticamente imposible anticipar estos ataques. 

Analizando la evolución del cibercrimen, otro aspecto que se puede notar es el nivel de colaboración que se presenta entre los atacantes, lo cual lleva a aumentar rápidamente la sofisticación de sus ataques y la disponibilidad de recursos para perpetrarlos. 

De hecho, el Director Nacional de Inteligencia de Estados Unidos en la pasada presidencia de Barack Obama, colocó el cibercrimen a la cabeza de la lista de amenazas a la seguridad nacional, por encima del terrorismo, el espionaje y las armas de destrucción masiva.  

Lamentablemente, todo nos hace suponer que en el ambiente del cibercrimen, los atacantes van a la delantera respecto de las prácticas de ciberseguridad que aplican las organizaciones. Esto se puede deber a que no solamente se está registrando una ventaja técnica y/o tecnológica, sino que, además, no se debe perder de vista que los requerimientos del negocio evolucionan constantemente, y por ende la tecnología que los soporta también, lo cual provoca que la incorporación de nuevas tecnologías o funcionalidades en forma poco planificada, genere brechas de seguridad aún en las organizaciones más seguras. 

El AICPA (American Institute of Certified Public Accountants) ha desarrollado marcos de referencia (SOC 1, SOC 2 y SOC 3), que asisten a sus integrantes (los CPA) en la revisión de los controles de los prestadores de servicio, de forma que la constatación de su cumplimiento provee un grado de confianza razonable a la gerencia de las entidades contratantes. Estos marcos de referencia fueron desarrollados a partir del antiguo SAS 70, y se comenzó a trabajar en el año 2010 en forma alineada con la norma SSAE16, para culminar la primera versión completa en el año 2011.

La familia de las normas ISO/IEC 27000 indica las condiciones que debe cumplir una organización para asegurar que cuenta con un sistema de gestión de la seguridad de la información eficiente y eficaz, que permita brindar confianza sobre el nivel de seguridad y control respecto de los activos informáticos. 

Graciela Ricci
CISA, CGEIT, CRISC
Directora Valor y Gestión TI