EY Perú: recomendaciones a empresas para prevenir ciberataques
El cibercrimen es una de las principales modalidades de robo de información personal, financiera y del negocio en la actualidad por lo que hablamos de un riesgo latente a nivel global. Recientemente, la conexión del Sistema de Pagos Electrónicos (SPEI) en México sufrió un ciberataque con pérdidas por 15 millones de dólares para cinco instituciones bancarias. Según un estudio realizado por Norton, las empresas de Estados Unidos, Inglaterra y España son las más afectadas aunque ya destinan fuertes sumas de dinero en prevención o en la contratación de ciberseguros.
“La tecnología evoluciona y su uso trae consigo la necesidad de evaluar los nuevos riesgos que vienen con ella. Según nuestra última encuesta global de seguridad de la información, vemos que las empresas en países desarrollados comprenden y actúan de manera preventiva para evitar riesgos; sin embargo, preocupa que en nuestro país, solo el 7% de empresas consideren que es probable que puedan detectar un ataque cibernético a tiempo. Para evitar consecuencias que afecten al negocio es importante tomar esto con seriedad”, señaló Elder Cama, Socio de Consultoría de EY Perú.
Con la finalidad de prevenir al mundo empresarial sobre esta problemática, EY Perú brinda las siguientes recomendaciones:
- Capacitaciones al personal: el 77% de empresas encuestadas a nivel global considera que la fuente más probable de un ataque cibernético es el colaborador descuidado. Es importante destinar tiempo de capacitación periódica y permanente al personal sobre posibles riesgos como por ejemplo, de abrir un correo de procedencia dudosa, de usar el USB de un extraño o descargar programas inusuales.
- Invertir en seguridad: el 87% de los encuestados señalan que necesitan 50% más de presupuesto para proteger la información del negocio. El mercado ofrece mecanismos de protección de datos, programas de monitoreo IT para detectar riesgos de ransomware y tecnología de backup de información para cada negocio.
- Involucrar a la alta gerencia: la gerencia debe tener un mejor entendimiento de las amenazas y vulnerabilidades de la empresa a fin de estar mejor preparada y prevenida para tomar decisiones en el momento oportuno. Para ello se recomienda involucrar al jefe/gerente de IT en las reuniones gerenciales para que reporte los intentos recientes de ataques cibernéticos, las acciones a implementar y establecer cuál es la política y procedimiento adecuado para mitigar un ataque o en caso los ejecutivos sean extorsionados vía blackmails.
Respecto de qué debe hacer primero una empresa que aún no contempla la seguridad de la información como algo más sofisticado, Elder Cama considera que el primer paso es conocer qué es lo que se desea proteger en específico. “Los activos críticos aquí son la propiedad intelectual, la información personal, información financiera e información del negocio junto con estrategias, desempeño y transacciones. Se debe hacer un balance entre costo, riesgo y valor para analizar el mejor camino de protección contra riesgo cibernético. Uno debe preguntarse si la mejora del sistema de seguridad nos hará competitivos, protegerá los activos importantes de la empresa y habilitará nuevas iniciativas para el negocio”, señaló el experto en ciberseguridad.