Marco Zúñiga.

A dos años de su creación, ¿cómo evalúan el trabajo de la Alianza?

Siempre es difícil evaluar una actividad en la que uno ha estado desde su formación, pero creo que un hito importante de la Alianza es ayudar a que la Ciberseguridad se considere como un tema de agenda pública. Lo segundo es que, en estos dos años, hemos logrado posicionarnos como la contraparte del mundo privado para las políticas del mundo público respecto a estos temas. Y tercero, hemos ayudado a instalar esta conversación y a promover este tema.

Entonces, haciendo un balance, nos hemos preocupado de formar esta entidad, generar un estilo de trabajo, y ahora nos queda empezar a generar áreas de trabajo más específicas, lo que incluye la incorporación de más organizaciones.

¿Ha cambiado el nivel de conciencia en las empresas nacionales respecto a la Ciberseguridad?
La respuesta a esta pregunta tiene varias dimensiones, pero hay que entender que, cuando hablamos de Ciberseguridad, no solo nos referimos a infraestructura tecnológica. Hace dos años, la Ciberseguridad era vista como un tema casi exclusivo de la gente de tecnología y esa es una apreciación que aún existe, pero en menor medida. No era percibida como un asunto estratégico ni como un pilar que tenía que estar al nivel de la decisión de las áreas de negocio de las organizaciones.

Pero, ¿qué ha pasado en estos dos años? Para conocer esta realidad, junto con IDC, presentamos en junio pasado el “Estudio de Madurez de Ciberseguridad en Chile”, cuyos resultados nos permitieron determinar que el nivel de conciencia o de preocupación ha aumentado, principalmente, en las organizaciones medianas y grandes, mientras que las empresas más pequeñas se encuentran mucho más rezagadas.

¿Cómo se plasma esa mayor conciencia?
Se demuestra en los espacios de inversión. La Ciberseguridad es un triángulo virtuoso que está formado por Tecnología, Personas y Procesos y, en ese sentido, las organizaciones se han preocupado de incorporar más dispositivos tecnológicos, pero aún les falta invertir mucho en las personas y en los procesos. De hecho, los últimos incidentes conocidos de Ciberseguridad ocurridos en el país confirman que no basta solamente con implementar tecnología, ya que si la inversión no se hace también en las personas y en los procesos no se está realmente asegurado. En definitiva, hay que preocuparse de que las inversiones sean equilibradas (tecnologías, procesos y personas), y eso significa capacitar, ordenarse, entre otras medidas.

¿Qué recomendaciones haría para que la conciencia siga aumentando?
Mi recomendación pasa por bajar el tema de Ciberseguridad a cosas prácticas del día a día. Y aquí hay un ejemplo bien prosaico: las claves o contraseñas son como los cepillos de dientes: personales, no se prestan y se deben cambiar cada cierto tiempo. Definitivamente, en Ciberseguridad no basta con hablar de teoría y estrategia, sino que también son muy importantes los comportamientos seguros para evitar situaciones riesgosas. Respecto de este punto, desde la Alianza felicitamos y agradecemos el trabajo que ha hecho el CSIRT del Ministerio del Interior, porque se han preocupado mucho de realizar campañas de concientización que persiguen transformar prácticas cotidianas en hábitos. Ahora, incluso así, hay que tener claro que, aunque se tomen todas las precauciones, puede producirse igualmente un incidente, pero ahí ya no es responsabilidad de las personas, sino de las organizaciones que deben prepararse para saber cómo responder. Y aquí vuelvo al triángulo virtuoso de Personas, Procesos y Tecnología, en ese orden de prioridad.

¿Por qué la Ciberseguridad no es prioridad para las pequeñas y medianas empresas?
Básicamente, no toman medidas de protección porque no ven riesgos. Son cosas que les pasan a otros, entonces ¿para qué invertir? Por eso, el gran desafío en estas empresas es pasar de ser reactivos a proactivos. Sin embargo, para dar ese primer paso, la inversión no es un tema. Por ejemplo, para formar hábitos de comportamiento y/o conductas seguras, no es necesario realizar una gran inversión, pues actualmente existen muchos recursos disponibles y es posible generar competencias y capacidades con muy pocos recursos.

Además, hay una gran cantidad de herramientas tecnológicas disponibles, incluso gratuitas, que permiten prevenir. Incluso, muchos ataques de ransomware de grandes compañías podrían ser minimizados con servicios gratuitos o pagando pocos dólares mensuales al tener toda la información respaldada en la nube. Entonces, la justificación de no tener presupuesto para no incorporar medidas de protección tecnológica y definir el conjunto de procedimientos mínimos y básicos que las compañías deben tener, hoy no es aceptable.

Por supuesto, si luego se quiere escalar, voy a tener que hacer un nivel de inversión mayor. Es exactamente igual que con el seguro del auto: ¿cuánto quiero proteger? ¿Cuánto estoy dispuesto a invertir? ¿Cuánto estoy dispuesto a perder?

En este campo, ¿cómo evaluaría el marco legal nacional?
Históricamente, Chile ha estado rezagado en los aspectos legales de tecnología en general y, en mi opinión, estamos avanzando, pero necesitamos aumentar el ritmo y los resultados. Basta con mirar la Ley de Protección de Datos Personales que lleva 10 años en discusión en el Parlamento. Entonces, definitivamente estamos al debe en este tema y ya es tiempo de pasar de lindas declaraciones a resultados concretos, porque lo que necesitan las personas, las policías y las empresas, es la ley funcionando, no en discusión.

¿Cuáles son los tipos de ataques más peligrosos hoy en día?
El primero y que puede ser tremendamente dañino para las personas es el Phishing. Hasta hace un par de años, estos ataques eran muy burdos, pero hoy son tremendamente elaborados y profesionales porque la práctica de ingeniería social está muy desarrollada.

También siguen siendo muy complejos los ataques perimetrales o de intrusión, donde los criminales se meten dentro de la organización y pueden modificar sistemas. Lo importante de entender es que cuando se activa un ataque interno, los ciberdelicuentes ya entraron seis meses antes a la red para estudiar todos los movimientos.

Finalmente, hay un tercer ataque que está empezando a ser más complejo: el relacionado con la infraestructura crítica y los sistemas de control automático o SCADA.

¿Hay que caer en la paranoia?
Sí, pero no en el terror absoluto que inmoviliza. En seguridad, uno tiene que ser paranoico, pero también hay que saber darles a los diversos riesgos el grado de importancia que tienen. Mientras más paranoico mejor, porque uno empieza a mirar todo: riesgos tecnológicos, riesgos de ingeniería social, riesgos del negocio, etc. Por eso, el pilar de Gestión de Riesgos en los Directorios, es decir, al alto nivel de negocio, es fundamental.

¿Qué consejo daría al canal como proveedor de Ciberseguridad?
En general, el rol de las empresas del canal es conectar a la perfección su solución con la problemática de negocio del cliente y, para eso, es necesario levantar el nivel de la conversación, aumentar el nivel de capacitación de las áreas comerciales y generar una propuesta de valor más compleja. Con eso, lograrán establecer una relación de confianza y ser vistos por el cliente como un socio para el negocio. Un segundo consejo es que, en este tipo de proyectos, no se muevan desde una “campaña del terror”, ya que, si bien esta clase de discursos puede servir al principio, es mucho más sustentable una relación basada en la conexión con el negocio y la gestión de riesgos.