Firmas mexicanas no están listas para otro WannaCry
La mayoría de las organizaciones alrededor del mundo no están preparadas ni cuentan con un plan de respuesta bien estructurado y realmente eficiente para hacer frente a un ataque cibernético, de acuerdo con el estudio anual Cyber Resilient Organization realizado por Ponemon Institute.
Según tal análisis, 77% de los encuestados —de un total de 2,800 profesionales de tecnologías de la información (TI) y seguridad de diferentes países— afirma que la compañía de la cual forma parte carece de un plan de respuesta ante incidentes de ciberseguridad (CSIRP) que se apliquen de manera uniforme en toda la empresa, una cifra similar a la de la investigación correspondiente al año anterior.
En entrevista con Expansión, Juan Carlos Carrillo, Partner en IBM México, explicó que nuestro país no está exento de esta falta de planificación y urgió que las firmas locales den la vuelta a la misma porque “tarde o temprano, un ataque va a suceder”, incluso de la magnitud de WannaCry. “¿Te puede pasar? Porsupuesto”, advirtió.
Lee también: México bajo fuego por Wannacry
En sus respuestas para el estudio global de Ponemon Institute, 57% de los consultados consideró que el tiempo para resolver un incidente ha aumentado. Además, solo el 29% dijo que cuenta con el personal necesario y apenas 31% informó tener el presupuesto adecuado. ¿Por qué? Porque aún se considera que los ataques cibernéticos son un tema tecnológico y no de negocio, aseguró Carrillo.
“Las compañías no han entendido que las afectaciones por este tipo de amenazas no son de índole tecnológica, sino de negocio”, explicó. “Cuando WannaCry sucedió”, por ejemplo, “el impacto se dió en negocios completos. Yo conozco algunas empresas que no pudieron laborar por al menos dos o tres días en lo que reconstruían sus servidores o reinstalaban sus máquinas”.
El Partner en IBM México detalló que “mientras esto se siga viendo como un tema tecnológico” los directivos únicamente voltearán a ver a los equipos de TI o de seguridad de información en caso de ataque, en lugar de involucrarse como líderes de negocio. Otro problema que tiene raíz en esta situación es que no existe un plan que involucre a todas las áreas de una organización y que realmente se practique como medida de prevención.
“Si están sucediendo estas cosas, ¿cómo es que no estamos preparados?”, preguntó Juan Carlos Carrillo. Normalmente existe un plan, agregó, pero “la persona o personas encargadas de TI o de seguridad de información son quienes dominan las acciones que se deben tomar, lo que hay y no hay que hacer. Pero el resto del personal lo desconoce”.
Recomendamos: Neuralegion, la startup que hubiera prevenido Wannacry.
Incluso se carece de un crisis manager, es decir, “quien en caso de crisis puede tomar decisiones”, algo que en muchas compañías se confunde con el director general. “Pero el el director general pocas veces sabe qué hacer en caso de un ataque cibernético”, dijo.
Otro gran reto a superar es la falta de inversión, como evidencia el estudio de Ponemon Institute. “Si el equipo explica que para arreglar el problema necesita recursos, el empresario le dice: ‘no, arréglalo con lo menos posible’”, ejemplificó Carrillo. “Imagínate que una persona llega con la pierna rota al doctor y le dice: ‘¿cuánto es lo menos que me puede cobrar para arreglarla?’. El médico va a responder que no puede arreglarlo a medias. En ciberseguridad es lo mismo”.
“Si tu ves los presupuestos en México que se le asignan a estos temas o a los ejercicios para poder responder a ataques, son básicos”, añadió.
De acuerdo con Juan Carlos Carrillo, en nuestro país, las organizaciones mejor preparadas son las del sector financiero, “porque históricamente es el sector más regulado y porque, además, sus pérdidas, lo que se van a robar, va a ser dinero”. Sin embargo, destacó, esto no quiere decir que estén completamente listas para hacer frente a una amenaza. “Y fuera de este sector es aún menor la cantidad de empresas preparadas”.