Daniela Segura Hernández, de Grupo Mutual; Sandra Rechnitzer, de LegalTech PHE y Raúl Rivera, de Mastercard, compartieron sus conocimientos y experiencias para ayudar a las compañías a enfrentar los desafíos de la seguridad digital en el país y el mundo actual.
En el marco de un Tech Day Costa Rica 2023 que congregó a más de 500 asistentes, se llevó a cabo el panel "Cómo se deben proteger las empresas ante la ciberdelincuencia", en el que expertos en la materia discutieron las medidas necesarias para proteger a las empresas ante la creciente amenaza de la ciberdelincuencia.
Los conferencistas Raúl Rivera, Cyber & Intelligence Manager Products and Solutions de Mastercard; Daniela Segura Hernández, subgerente de Servicios de la Información de Grupo Mutual; y Sandra Rechnitzer, directora Ejecutiva de LegalTech PHE, compartieron sus conocimientos y experiencia para ayudar a las compañías a enfrentar los desafíos de la seguridad digital en el mundo actual.
De acuerdo a Segura Hernández, en el país se está tomando conciencia de la importancia de la ciberseguridad en el sector gubernamental y empresarial. "No podemos dejar de lado que, solamente en lo que llevamos de 2023, por segundo hay más de 1.600 intentos de ataques. En el caso de Latinoamérica, eso está muy asociado al tamaño del país y a su economía —explicó—. Por ejemplo, de esos 1.600 ataques, Brasil se lleva más del 50%. Sin embargo, Costa Rica representa un 3,6%. Entonces, no estamos exentos, seguimos en el radar y estamos bajo fuego".
Para la ejecutiva, hay que "seguir haciendo un gran esfuerzo y esto va a depender del tema de conciencia, no solamente a nivel personal sino también organizacional. Según el último estudio de 2023 de CISO Latam, la amenaza más grande en cualquier país, con un 21% de los encuestados, es la ingeniería social, porque las personas somos el eslabón más débil, somos las que terminamos abriendo las puertas para que nos ataquen".
En la visión de Rechnitzer, la ciberseguridad es un proceso continuo que requiere saber las debilidades y controles de la empresa para protegerla de amenazas internas y externas. Conocer la lista de amenazas es importante, pero sin controles efectivos son inútiles. "La empresa que dice estar totalmente segura es una empresa que se murió, porque ya no la van a atacar. Saber la lista de amenazas es muy importante, pero tenemos que conocernos nosotros como instituciones para saber si tenemos las debilidades que se puedan explotar. De lo contrario, los controles que vayamos a implementar son nada, cero", afirmó.
Le puede interesar: Costa Rica da inicio a la gira Tech Day 2023
Para Rivera, "hay que potenciar cómo hacemos la gestión del riesgo. Lo que veo para este año es que van a seguir los ataques de phishing, de ransomware y las estafas, por así se monetizan los ataques. Hay que recordar que la guerra entre Ucrania y Rusia se traslada a nosotros también, porque al haber congelamiento de fondos prosperan las criptomonedas para mover ese dinero. Y otra cuestión importante a observar este año es el impacto en la cadena de suministro".
En cuento a la gestión de la seguridad, Segura Hernández hizo énfasis en "pasar de políticas que están solo escritas en las empresas a políticas activas, en las que todos toman conciencia no solo para cumplir con la compañía, si no para entender a qué se está exponiendo uno como ser humano. Saber cuál es mi responsabilidad social y legal como colaborador de una organización en la gestión. Eso muchas veces se nos olvida, y es obligación de recursos humanos y de la alta gerencia de informar al respecto".
En lo referente a la ciberseguridad dentro de pequeñas y medianas empresas, la ejecutiva dijo que los controles básicos es lo elemental para compañías de pocos recursos, pero "ni siquiera tener un presupuesto asignado a la seguridad de la información hoy es tener la empresa destinada a perecer. Cuando hago consultorías, pregunto en las compañías cuáles son sus procesos críticos y si responden que son cien, eso no existe. Ese análisis de riesgo es pésimo. Las empresas más maduras en ciberseguridad no son las que atacan todos los riesgos, sino las que mejor se conocen y saben priorizar".
En este sentido, Rivera opinó: "Hay que entender las capacidades de esas pequeñas y medianas empresas: el 70% de ellas en nuestro país son unipersonales. Mentira es que van a pensar en ciberseguridad; mentira es que, por más que lean un articulo sobre las amenazas, van a tomar acciones al detalle para prevenirse. Entonces, tienen que buscar ayuda y nuestro mercado y ecosistema tiene que facilitarle la vida a este sector".
Consultados por el público sobre si, en lugar de combatir el ciberdelito con esfuerzos aislados, sería conveniente crear un comité nacional donde las empresas puedan compartir ideas y sugerencias, y catalogar a la ciberseguridad como un tema de interés nacional, los expertos ofrecieron sus puntos de vista.
"Los ataques sufridos por el país el año pasado se catalogaron como emergencia nacional y existen entidades, hay una comisión de respuesta a ataques que está funcional", señaló Segura Hernández. "La cuestión es que no se le ha dado importancia ni tanta bulla. También están los foros interbancarios, donde tocamos el tema de ciberseguridad. El asunto es que estas entidades existen y el asunto es ver cómo se le pueden dar más visibilidad".
Por su parte, Rechnitzer dijo: "Yo no creo que sea tan cierto cuando la gente dice '¿¡cómo ha pasado esto, por qué nadie ha hecho nada!?'. Las instituciones hicieron cosas, pero nunca van a estar al nivel de los atacantes. ¿Cómo demostramos responsabilidad y que no fuimos negligentes? Con el análisis de riesgos: mostrar que se tomaron controles porque esas eran las vulnerabilidades en ese momento. Mientras pueda darle esa trazabilidad al por qué, voy a estar a salvo. La seguridad al cien por ciento no existe: eso es una utopía".