En los últimos años hemos visto una tendencia alcista en las intenciones de invertir en tecnología por parte del mercado medio. Es posible que esto no responda solamente a cuestiones de productividad o a la intención de mantenerse a la vanguardia y seguir el ritmo de los mercados cambiantes. También puede deberse a un aspecto más defensivo: que la inversión busque adquirir o mejorar la ciberseguridad de la empresa para mitigar los cada vez más frecuentes y sofisticados riesgos digitales.
El International Business Report comenzó en 2024 a medir la percepción de los riesgos digitales como una limitación. En el primer trimestre, el 25% de los líderes empresariales del mercado medio argentino encuestados señaló que les preocupaba la ciberseguridad, a la vez que el 45% anunciaba su intención de invertir en tecnología. Por su parte, en ese mismo período, a nivel global, el 50% de los líderes veía a los riesgos digitales con preocupación y el 66% planeaba invertir en tecnología.
El Fondo Monetario Internacional señala que las pérdidas económicas directas por ataques cibernéticos se han cuadruplicado desde 2017 y se sitúan en USD 2.500 millonesi. “Esta situación va de la mano con los cambios en las formas de relacionamiento de las compañías con sus clientes, proveedores, empleados, etc., y sería esperable que se incrementen en el futuro”, comenta Cristian Bertone, Socio de BRS Servicios Financieros y líder de IT Advisory de Grant Thornton Argentina. “La multiplicación de canales digitales, sumado a la falta de percepción del riesgo, las exigencias de friction-less del usuario y la velocidad de adopción de nuevas tecnologías, ponen a las compañías en una encrucijada”.
Cada ataque exitoso no solo repercute en lo económico, sino que también puede traer consecuencias legales y reputacionales al negocio. Estos ataques dañan la imagen de la empresa, se pierde la confianza de clientes, aliados y partes interesadas, el negocio queda expuesto al escrutinio público y de acuerdo con la naturaleza del incidente puede haber repercusiones reglamentarias detectadas por los organismos de control que deriven en sanciones.
El alcance del daño va a depender del tamaño de la fuga de información, cuán rápida y efectiva fue (o se percibe que fue) la empresa para detener el ataque, el número de partes afectadas y los antecedentes de la empresa en cuanto a incidentes previos o medidas de protección.
Desde la pandemia, los ciberincidentes se han triplicado y perfeccionado. Ya no basta con que solo los equipos de TI sean los responsables de prevenir y contener las amenazas. Los líderes de las organizaciones y sus equipos de trabajo deben comprender los riesgos y encontrar la manera de evitar la exposición a potenciales ataques.
En el tercer trimestre de 2024, a nivel global, el 69% de las empresas del mercado medio planea invertir en tecnología de la información durante los próximos 12 meses. De este porcentaje, el 66% señala que será en inteligencia artificial (IA). “Dado el contexto que estamos viviendo, es importante mantener una mentalidad abierta y no negarse a la innovación que pueden traer aparejadas estas nuevas herramientas”, comenta Bertone.
Conocerlas y seguir su evolución es clave para mitigar y prevenir riesgos, al tiempo que puede facilitar las defensas. Por ejemplo, la IA puede volver más sofisticados los ataques a la vez que permite optimizar procesos de control y análisis. El Informe de Riesgos Globales 2024 del Foro Económico Mundialii indica que las consecuencias negativas de los avances de la IA y las capacidades tecnológicas relacionadas ingresaron al ranking de gravedad de riesgo percibido en el largo plazo (10 años), ubicándose en el 5° puesto para los sectores público y privado.
“Con nuestros equipos venimos observando desde hace tiempo la disponibilidad de herramientas de desarrollo de software que permiten gestionar alarmas, optimizar códigos, corregir errores de programación o traducir de un código a otro”, destaca Bertone. “El proceso de parametrización de estas herramientas es clave, al igual que sus posteriores testeos, para asegurar que el uso de IA verdaderamente aporte valor y permita alcanzar los objetivos que se tienen en mente al realizar estas inversiones en nuevas herramientas”.
La IA también puede ser utilizada para elaborar un sistema de gestión de vulnerabilidades que permita llevar más allá a la empresa. Grant Thornton Luxemburgo, por ejemplo, desarrolló con un equipo diverso de expertos en ciberseguridad, ingenieros informáticos y estrategas comerciales un sistema de gestión de vulnerabilidades basado en IA. Éste, no solo señala vulnerabilidades basándose en métricas de riesgo tradicionales, sino que también alinea esos riesgos con las prioridades comerciales de la empresa, mejorando la eficiencia general y el enfoque estratégico.
En Argentina, el Equipo de Respuesta ante Emergencias Informáticas Nacional (CERT.ar) evidenció que en 2023 el sector de las finanzas fue el mayor blanco de los ciberataques, con el 31% de los incidentes registrados.
Desde hace tiempo que el Banco Central de la República Argentina (BCRA) trabaja en pos de la Ciber resiliencia y ha establecido una serie de lineamientos y requisitos obligatorios para hacer frente a los ciberincidentes y limitar los riesgos.
“La Com. A7724 del BCRA que se emitió en 2023, por ejemplo, actualizó los requisitos obligatorios que deben implementar las entidades financieras de Argentina para la gestión de sistemas y tecnologías de la información. Incorporó nuevos controles y temáticas a considerar, asegurando que todas las entidades cuenten con prácticas efectivas para el control interno y la gestión de riesgos de su entorno operativo de tecnología y seguridad de la información", comenta Fabián Bogado, Director de IT Advisory de Grant Thornton Argentina.
El BCRA también ha establecido lineamientos para la respuesta y recuperación ante ciberincidentes (RRCI) que deben ser aplicados antes, durante y después del mismo. “Si bien éstos están dirigidos a entidades financieras, proveedores de servicios de pago que ofrecen cuentas de pago e infraestructuras del mercado financiero; pueden ser adoptados por cualquier institución o compañía ya que revisten un carácter general”, destaca Bertone.
Establecer un marco de gobierno para organizar y gestionar las actividades de respuesta y recuperación ante ciberincidentes. Definir la toma de decisiones asignando roles y responsabilidades de los participantes internos y externos.
“Para una gestión eficaz es necesario fomentar una cultura de ciberseguridad en toda la empresa, que todos conozcan su función y responsabilidad. Es necesario establecer métricas para evaluar el impacto, medir la eficiencia de las actividades de RRCI y realizar informes”, resalta Bertone.
La preparación para afrontar los incidentes tiene un rol significativo en la efectividad de las actividades de RRCI. Definir las políticas, planes y procedimientos para saber cuándo y cómo actuar permitirá una respuesta ordenada y exitosa. Se debe establecer una estrategia, canales y planes de comunicación para una acción coordinada y adecuada.
“No solo hay que considerar la infraestructura interna, la planificación también debe contemplar a los proveedores de servicios. Para construir la resiliencia, hay que identificar también el riesgo en los terceros y evaluar y adoptar medidas de mitigación cuando corresponda”, señala Bertone.
Determinar la criticidad e impacto del ciberincidente e investigar la causa raíz mediante un análisis forense. Conocer la taxonomía para su clasificación según el tipo de incidente, sus actores, sus vectores de amenazas y sus impactos; permitirá determinar el nivel de priorización y la asignación de recursos para mitigar el impacto, restablecer los servicios y recuperarse.
“Los registros de las auditorías de sistema y de los dispositivos son necesarios para una correcta investigación forense. Además, los lineamientos del BCRA recomiendan contar con fuentes de información tanto internas como externas para una rápida evaluación de las amenazas y causas de un ciberincidente”, destaca Bertone.
Contener, aislar y erradicar. Refiere a las acciones cuya finalidad es la prevención del agravamiento de la situación y la eliminación de las consecuencias de los incidentes para minimizar el impacto en las operaciones y servicios.
“De acuerdo con el tipo de ciberincidente, se desplegarán diferentes medidas de contención, que pueden ser desde desconectar o aislar parte de los sistemas o redes, o continuar brindando el servicio, dependiendo de la criticidad, posibles consecuencias o impacto”, señala Bertone.
Ante un ciberincidente, la recuperación de las operaciones, servicios y datos afectados a su estado habitual debe realizarse de manera segura. El BCRA recomienda que las actividades de restauración cuenten con procedimientos automatizados, documentados y probados, así se reduce el riesgo de error humano que puede surgir en una restauración manual. Monitorear el proceso de restauración y validar la integridad de los activos, es una práctica conveniente.
“Los datos que estuvieron comprometidos en el incidente pueden haber sufrido algún tipo de manipulación, por lo que se debe garantizar su integridad. Es una buena práctica realizar pruebas de restauración periódicamente, que le permitan asegurar la integridad, disponibilidad y legibilidad de los datos recuperados”, comenta Bertone.
En todo momento es clave mantener una coordinación y comunicación fluida. Definir el lenguaje, la frecuencia y el nivel de detalle según el destinatario del mensaje y la coordinación adecuada entre las partes, permitirá alcanzar los objetivos. Escalar el incidente de acuerdo con el marco de criticidad y procedimientos establecidos, y actuar según los planes de acción brindará garantías razonables de un correcto abordaje de la amenaza.
“Informar el incidente e intercambiar información técnica con las Autoridades sobre la amenaza, las estrategias y acciones llevadas a cabo permitirá la creación de un ecosistema más resiliente y el reconocimiento de nuevos métodos, tanto de ataque como de defensa, que permitirán a la empresa estar mejor preparada a futuro”, destaca Bertone.
El análisis post incidente, los simulacros y los ejercicios de validación de medidas y protocolos permitirán mejorar las actividades y capacidades de RRCI, implementando cambios donde sea necesario. Antes y después del incidente se puede obtener información valiosa para mejorar las actividades de respuesta y recuperación y las prácticas de gestión de riesgos cibernéticos.
“La empresa debe tener un espíritu de mejora continua que le permita aprender y querer ir más allá en la gestión de ciberincidentes. Reconocer las fallas y estar al día con los avances tecnológicos, tendencias y publicaciones de entes reguladores y supervisores mejorará la resiliencia y robustecerá los procedimientos durante el incidente, minimizando consecuencias”, comenta Bertone.
Adoptar un enfoque empresarial integrado y contar con el apoyo e involucramiento de la alta dirección para la gestión del riesgo digital ofrece una serie de beneficios clave para las organizaciones. La seguridad informática dejó de ser simplemente un desafío para el equipo de TI, crear una cultura de ciberseguridad en toda la empresa podría evitar grandes perjuicios ya que, según Havard Business Review, el 80% de los ataques cibernéticos se deben a errores humanosiii.
Lo mismo ocurre cuando se evalúa y analiza el resigo digital: se debe adoptar un enfoque holístico que incluya todas las amenazas. Centrarse en cada una de ellas por separado no es eficaz y dificulta la protección y diferenciación de las amenazas y las que no lo son.
Contar con un aliado como Grant Thornton, permite construir una cultura que dé prioridad a la ciberseguridad para acelerar el crecimiento seguro, gestionar el riesgo cibernético y responder rápidamente a las regulaciones en evolución. Compartir la responsabilidad en materia de ciberseguridad con expertos fortalece la alineación entre los diferentes miembros de la empresa y establece la responsabilidad cibernética más allá del CISO.
------------
i. "Las crecientes amenazas cibernéticas, una grave preocupación para la estabilidad financiera" - Fondo Monetario Internacional (FMI). Recuperado de imf.org
ii. "The Global Risks Report 2024" - World Economic Forum. Recuperado de weforum.org
iii. "Human Error Drives Most Cyber Incidents. Could AI Help?" - Harvard Business Review. Recuperado de hbr.org
