Nelson Parra, Gerente de Proyectos Estratégicos de ADEXUS.

Además del sector financiero, ¿cuáles son los sectores económicos que más están invirtiendo en seguridad de la información?
Los sectores económicos que más están invirtiendo o gastando en Ciberseguridad son aquellos que dependen cada día más de Internet para el desarrollo de su negocio. En efecto, en el Retail cada día aumentan las ventas por e-commerce, apps y otros canales no presenciales. Así, se vitrinea desde el celular, se paga utilizando transacciones online y los clientes, que comienzan a ser mayoritariamente “nativos digitales”, exigen una experiencia de usuario ágil, rápida y segura. De esta manera, las empresas de este sector empezaron a enfocarse en mejorar la disponibilidad y seguridad de sus sistemas informáticos, llegando a ser un objetivo estratégico a la hora de hacer sus planes y destinar recursos para el cumplimiento de ellos.

Otro sector es el Gobierno, ya que con sus constantes iniciativas de ir hacia un gobierno digital, ha puesto a disposición de los ciudadanos y organizaciones una gran variedad de servicios online, convirtiéndose en un canal de cada vez mayor adopción. Dada la creciente dependencia de este canal digital, debiera fortalecer sus sistemas ante posibles ataques de DDoS, de secuestro de información o de intrusión a sus sistemas por medio de vulnerabilidades expuestas a través de sus aplicaciones, para evitar el robo de información sensible o de indisponibilidad de sus servicios críticos.

En este campo, ¿cuáles son las principales falencias que se pueden encontrar en las empresas chilenas?
En Chile hay muy pocas empresas que están preparadas contra nuevas amenazas, basadas principalmente en técnicas “Zero Day Attack”. Sin embargo, existen otras áreas de la seguridad de la información aparte de la seguridad informática, en que pueden aparecer nuevas amenazas. Estas se mitigan con adecuación de políticas, procedimientos y concientización de las personas, que son el eslabón más débil en la seguridad de la información.

Muchas organizaciones no destinan un presupuesto “adecuado” de Ciberseguridad, pues no siempre ven el retorno de esa inversión. ¿Qué opina?
Considero que es un error evaluar las inversiones y gastos en Ciberseguridad por los métodos financieros tradicionales, como el VAN, ROI o TIR, ya que estos evalúan el proyecto por el beneficio económico que generan, principalmente por ingresos o ahorro de costos. Quizás por este motivo es que los proyectos de Ciberseguridad quedan al final de la lista de prioridades al repartir los presupuestos.

Estimo que cada día las empresas entienden más este proceso y están cambiando la percepción, ya que consideran que la decisión de abordar estos proyectos pasa por la evaluación de cuánto estos mitigan los riesgos a los que está expuesta la empresa, lo que se mide con un análisis de riesgos y su impacto en el negocio, a la hora en que estos ocurran. Aquí se evalúan aspectos como riesgo reputacional, el impacto económico de que el negocio no opere o el impacto de la mala experiencia de los clientes cuando un sistema funciona lento o no cumple sus expectativas.

¿Qué argumentos se pueden usar para incentivar la inversión en estrategias “integrales” de seguridad?
Para incentivar la inversión en estrategias integrales, es necesario partir con una visión del riesgo organizacional desde el nivel más alto de la empresa y así delinear las políticas y prioridades que gobiernen el proceso de Gestión de Riesgo, desde el nivel ejecutivo hasta el operativo. En este sentido, es aconsejable basarse en modelos de referencia, como el Cybersecurity Framework (CSF) del National Institute of Standards and Technology (NIST), en vez de abordar la ciberseguridad por la vía de procesos aislados de mitigación.

¿Cuáles son las tecnologías que están marcando tendencias en Ciberseguridad?
Hay varias tendencias que están impactando fuertemente los temas de Ciberseguridad. Entre los principales y en primer lugar, podemos mencionar el proceso de Transformación Digital que están viviendo o planeando las organizaciones a nivel nacional y global. Esto las está llevando a mover parte de su procesamiento a la nube pública, a incorporar la movilidad en el acceso a sus sistemas y a mejorar la experiencia de sus empleados, con políticas como “Bring Your Own Device” (BYOD), entre las principales acciones. Todo esto ha significado que el perímetro tradicional de seguridad se haya transformado en un perímetro “sin bordes”, en donde aparecen muchas vulnerabilidades expuestas, las que pueden originar grandes pérdidas económicas e impactos negativos en su imagen corporativa.

Por otra parte, la Inteligencia Artificial (IA) también está tomando un doble protagonismo, ya que permite, por un lado, generar ataques más sofisticados y difíciles de descubrir, y por otro, facilita la detección de ataques sofisticados y la automatización de patrones de respuestas mitigatorias.

Finalmente, destaco a los dispositivos de la Internet de las Cosas (IoT), que abren nuevos vectores de ataques, al poder ser utilizados para generar ataques masivos de denegación de servicios DDoS, a través de las llamadas “Thingbots” y también para obtener acceso a recursos corporativos al no estar configurados con la robustez necesaria desde el punto de vista de seguridad, permitiendo a hackers y ciberdelincuentes vulnerar y dañar plantas industriales, ciudades e instalaciones en donde estos están distribuidos.

¿Cuenta Chile con suficientes especialistas en este ámbito?
No, el país no tiene suficientes profesionales en este campo y los actuales existentes se han autoformado o han realizado procesos de certificaciones en distintas áreas. Recién en 2018 se creó la primera carrera de Ingeniería en Ciberseguridad que entregará los primeros profesionales en el año 2022.

Además, es necesario notar que los profesionales requeridos para las necesidades actuales requieren de habilidades de seguridad enfocadas en datos, como Data Science, Data Analytics y Data Governance.