Como venimos observando, la adopción de soluciones en la nube se vine acelerando. Y como si fuera poco el COVID-19 nos terminó de lanzar al ciberespacio. El home office incrementó exponencialmente el acceso remoto, extendiendo la superficie potencial de ataque por parte de los ciberdelincuentes.
Recientemente salió en los medios el caso del panadero en Florencio Varela que comenzó a vender pan precocido y congelado a través de una app. O el caso de la mujer que tenía un local a la calle de venta de cortinas, y que con una simple y básica página web descubrió cómo se le ampliaba el mercado. Hace algunas semanas salió un artículo donde indicaba que más de 4.000 PyMEs argentinas comenzaron a adoptar la venta online.
La adopción de la nube no tiene marcha atrás, ni para las grandes empresas ni para las PyMEs, las que de otra manera no podrían acceder a los beneficios de la transformación digital a costos accesibles y con rápidas implementaciones.
Como el COVID-19, los ciberdelincuentes son un enemigo invisible, y no sabemos cuándo ni cómo atacarán. Sobre todo, considerando que los atacantes pueden estar varios meses haciendo inteligencia, para luego vender la información en el mercado negro o planificar el ataque final. Y si hay alguno con poca experiencia, hoy no tiene problema, puede contratar servicios en la nube como el “phishing as a service”.
Ahora bien, podemos circular libremente diciendo que esto no me va a pasar, entrar en cuarentena estricta y paralizarnos, o tomar medidas para gestionar y mitigar el riesgo.
Con el tema del home office, usamos equipos personales o de la empresa y cuando terminamos de trabajar accedemos a nuestras redes sociales o nuestros hijos juegan con alguien en la nube, y al día siguiente nos conectamos nuevamente con la empresa o nuestros colegas para seguir trabajando.
Veamos una muestra de lo que viene pasando, Edesur sufre un ataque que logra repeler, un cliente sufrió un ataque de spear phishing (el “proveedor” solicitó el pago de determinadas facturas en una cuenta en el exterior, por suerte el cliente no cayó en la trampa), a mí me intentaron extorsionar; en el 2016 quedaron expuestos más de 164 millones de correos y claves de Linkedin. Con esto qué quiero decir, hoy los ataques no sólo afectan a las grandes empresas y muchos no lo declaran por una cuestión de imagen o simplemente nos da vergüenza de reconocerlos. Por otro lado, los ciberdelincuentes acceden a la transformación digital (big data, machine learning, automatización, etc.) y pueden realizar ataques sofisticados y masivos sin mayor esfuerzo.
La ciberseguridad va más allá de lo tecnológico. Las brechas también están en los procesos y sobre todo el factor humano que es el eslabón más débil y necesario para la mayoría de los ataques. Sus riesgos pueden afectar directamente a los ingresos, la reputación y a la exposición legal. No es un trámite más, debe formar parte de la gestión del negocio. Comprendida y liderada por el Número 1 y secundada por el resto del management. La ciberseguridad es en esencia un asunto de gestión de riesgos de toda la organización.
El tema es muy complejo, y requiere un enfoque permita simplificar la adopción de un modelo de gobierno de ciberseguridad.
Por Gustavo Gazzaneo, Director de Ciberseguridad – Auren IT