Días atrás se llevó a cabo un desayuno de prensa en el Hotel Intercontinental con la presencia de Edson Villar, líder de los servicios de Consultoría en Ciber-Riesgo para Latinoamérica y el Caribe de Marsh. El especialista visitó el país y aprovechó su paso para presentar el trabajo del área de Ciber-Riesgo de Marsh, y abordar temas como la vulnerabilidad a los ciberataques, el contexto de ataques a nivel global y a nivel local, el impacto financiero de los ciberataques, y la cultura de prevención.
Allí se dio a conocer una encuesta sobre la percepción del ciber riesgo (CYBER RISK PERCEPTION SURVEY 2018) realizada por Marsh y Microsoft.
Entre los datos relevantes que surgieron de la misma, se destaca que:
- 54% de las organizaciones encuestadas en 10 países fueron víctimas de ataques de ransomware en el 2017
- 75% consideran que el impacto más importante de un ciberataque sería la interrupción de sus operaciones
- US$133 mil es el costo promedio de un ataque de ransomware en las organizaciones
- US$6 billones es el costo estimado de los daños causados por el ciber-crimen para el 2021
Cuando se habla de Ciber-Riesgo, actualmente, se refiere a los desafíos que surgen para hacer frente a las amenazas y vulnerabilidades, a la gestión del Ciber-Riesgo, la seguridad de la información, la ciberseguridad y la “Ciber-Resiliencia”. Por su parte, los principales riesgos en IT devienen del error humano, de daños al software y/o al hardware, y a errores en el diseño.
Asimismo, la seguridad física, el incendio, el sabotaje y el fraude interno emergen como los principales riesgos de seguridad de la información.
A la hora de clasificar los Ciber-Riesgos, el estudio hace foco en:
- Robo o manipulación de información sensible o confidencial (p.e. información de nóminas, informes médicos, secretos comerciales, etc.)
- Malware capaz de destruir datos, hardware e incluso interrumpir las operaciones.
- Fraude informático
- Interceptación de las comunicaciones
- Acceso no autorizado a la red
Los encuestados también hicieron mención a los retos que se enfrentan en la gestión del Ciber-Riesgo. Entre ellos, no caer en el error de pensar que el Ciber-Riesgo es solo un problema de TI, que el nivel de conocimiento en términos de gestión del Ciber-Riesgo es bajo en sus organizaciones, que no hay recursos destinados para la gestión del riesgo cibernético o bien que no se cuenta con información suficiente para sustentar la importancia de este riesgo.
Los miembros del directorio y la alta gerencia deberían estar al tanto de los planes de respuesta, participar en los ejercicios y conocer sus responsabilidades en caso de una brecha”, explican desde Marsh, que a esos fines sugieren realizar ejercicios de respuesta ante ciber-crisis al menos de manera anual; entender los ciber-riesgos que afectan a la organización y los costos asociados, y re-evaluar los planes de respuesta para asegurar su adecuación y completitud.
Según Edson Villar, solo existen 2 tipos de empresas en términos de ciberseguridad: las empresas que aún no saben que han sido hackeadas; y las empresas que han sido hackeadas. Y en ese contexto, citó una frase de Eugene Kaspersky:
No hay nada 100% seguro. Todo puede ser vulnerado, solo es una cuestión de cuánto dinero le puedes invertir. El truco es hacer que el ataque sea más caro que el retorno”.
Para el ejecutivo, los cambios en los procesos, tecnologías y formas de trabajo abren nuevas puertas a los cibercriminales. Además, la información afectada o las brechas de seguridad suelen ser comercializadas en el mercado negro de internet.
Para eso es importante avanzar en buenos niveles de autenticación. En ese sentido, como dato de color, reveló las peores contraseñas del año, que salieron después de evaluar 5 millones de contraseñas filtradas en internet. En el top ten se observan:
- 123456
- password
- 123456789
- 12345678
- 12345
- 111111
- 1234567
- sunshine
- qwerty
- iloveyou
«Hay que utilizar contraseñas robustas en todos tus dispositivos y que no se repitan, y aprovechar las propiedades de un gestor de contraseñas”, sugirió, al tiempo que recomendó habilitar el doble factor de autenticación siempre que esté disponible, utilizar siempre software original y actualizado, revisar que las credenciales no hayan sido comprometidas, realizar copias de seguridad de la información, y bloquear los dispositivos al alejarse de ellos.
Finalmente, se hizo referencia a un informe de Verizon con un análisis de la cantidad de ataques que sufren las organizaciones por sector. “El informe resalta que la mayoría de los ciber-criminales buscan obtener dinero, así deban ganarlo poniendo en riesgo la información personal que manejamos, los datos de tarjetas de crédito o débito, o propiedad intelectual”, advirtió.