La importancia de la ciberseguridad en las empresas
Conversatorio Empresas Copec: Ciberseguridad, una responsabilidad compartida
Este año, por primera vez, el tema del cibercrimen se ubicó en los top ten de los riesgos más relevantes de la próxima década, según el Global Risks Report 2023 del World Economic Forum.
En este contexto, Empresas Copec y sus filiales cuentan con áreas especializadas en ciberseguridad, un tópico que se aborda desde los directorios, compromete a la alta gerencia y permea en todas las áreas de las organizaciones.
En este nuevo encuentro participaron Carlos Vera, Chief Information Security Officer (CISO) de SERCOR; Luis Felipe Espinoza, subgerente de Operaciones y Ciberseguridad de Copec; Hernán Villagrán, oficial de Seguridad de la Información de Empresas Copec; Náyade Zúñiga, subgerenta de Seguridad de la Información de ARAUCO; Miguel Saldías, oficial de Seguridad de la Información de Abastible; Miguel Hernández, director de Ciberseguridad de Terpel, y Fernando Riveros, subgerente de TI de Orizon. El conversatorio fue moderado por la gerenta de Comunicaciones de Empresas Copec, Francisca Riveros.
Un escenario desafiante
Las cifras hablan por sí solas. Según datos de Microsoft, la ciberdelincuencia se incrementó hasta un 600% tras la pandemia. Además, Knowbe4 estima que el ransomware, método de ataque por extorsión que utiliza el cibercrimen, costará a sus víctimas alrededor de 265 billones de dólares anualmente para 2031, con un ciberataque (a un consumidor o una empresa) cada dos segundos.
Este escenario representa un gran desafío para las compañías, las que deben estar preparadas para afrontar, en forma efectiva y oportuna, incidentes relacionados con la seguridad de la información.
Para Fernando Riveros, subgerente de TI de Orizon, el reto de la ciberseguridad se exacerbó con la pandemia. “Producto del teletrabajo, el 90% de los computadores tuvieron que salir de la red y conectarse desde los hogares o lugares públicos. Y eso fue un desafío bastante importante, en particular porque toda nuestra infraestructura estaba diseñada para proteger la red interna. Así que tuvimos que implementar una serie de herramientas cloud, de tal forma que los equipos estuvieran con los últimos parches de seguridad, tanto a nivel de sistema operativo como de software, independientemente de la red desde la cual se conectaran”.
Miguel Saldías, oficial de Seguridad de la Información de Abastible, agrega: “Hay atacantes que están repartidos en todo el mundo, con muchas herramientas, presupuesto y variantes para poder atacarnos. Entonces, en ese sentido es fundamental tener una estrategia para poder administrar bien los recursos que nos provee cada una de las empresas a las que pertenecemos y en función de eso poder detectar oportunamente un ataque. Además, debemos utilizar herramientas automáticas, automatizar procesos y tener una estrategia y un playbook listo para no caer en improvisaciones”.
En el caso de ARAUCO, su subgerenta de Seguridad de la Información, Náyade Zúñiga, comenta que lo primero que hicieron como equipo de TI fue entender el negocio. “Cuáles son los riesgos que está enfrentando la industria, cuáles son las amenazas, dónde nos encontramos y en función de ese contexto elaborar una estrategia, considerando que ARAUCO es una empresa industrial. Evaluamos cuáles son los riesgos y, de acuerdo a estos, desarrollamos planes de trabajo con una mirada en los temas que eventualmente son más críticos. Las amenazas siempre van a ser crecientes, lo importante es entender dónde estamos y frente a eso empezar a trabajar”.
Para Luis Felipe Espinoza, subgerente de Operaciones y Ciberseguridad de Copec, lo que actualmente tiene que hacer el equipo de Seguridad de la Información es totalmente distinto a lo que hacía hace cinco años, considerando la incorporación de nuevas técnicas y tácticas de ataque. “Afortunadamente, hoy la automatización nos permite tener una mayor capacidad para manejar efectivamente las excesivas alarmas que se están generando, ya que la cantidad de incidentes que se detectan es mucha, pero hay que saber determinar qué es realmente una amenaza y qué no. Y frente a eso reaccionar rápido. Para ello, es clave mirar el entorno. Y eso significa estar vigilante. En este sentido, en Copec hemos hecho un esfuerzo para que los equipos de seguridad empiecen a entender, con algunos servicios de ciberinteligencia, quiénes están detrás de un ciberataque, quiénes son los que están constantemente tocando la puerta en la industria y así entender cuáles son sus técnicas y tácticas, de manera de que cuando ocurra algún incidente, ya sabes que eran de tal grupo y que este trabaja de tal forma, lo que te permite estar mucho más preparado”.
Miguel Hernández, director de Ciberseguridad de Terpel, complementa: «En Colombia, donde tenemos nuestra base de operaciones para toda LATAM, estamos enfocados en impulsar la transformación de nuestros servicios y fomentar la adopción de nuevas tecnologías. Las tecnologías obsoletas representan un terreno propicio para la actividad de ciberdelincuentes. Por lo tanto, nuestra propuesta abarca no solo la implementación de medidas defensivas sólidas, sino también la eliminación de tecnologías obsoletas.
Esto es esencial, ya que dichas tecnologías podrían brindar una superficie perfecta para la materialización de incidentes cibernéticos de gran envergadura”.
Hernán Villagrán, oficial de Seguridad de la Información de Empresas Copec, añade: “Estamos observando cómo el panorama mundial respecto de la ciberseguridad está evolucionando diariamente. Las técnicas de ataque se vuelven más sofisticadas y obligan a las organizaciones a estar alertas y a la vanguardia en cada momento. En este contexto, es importante estar preparados para prevenir, contener y recuperar los diferentes procesos críticos de negocio de las compañías. Hoy en día, en un mundo mucho más digitalizado, el tiempo de interrupción de los servicios y el impacto para todos los stakeholders debe ser el mínimo posible”.
Con más de 27 años de experiencia trabajando en el Grupo de Empresas Copec, Carlos Vera, Chief Information Security Officer (CISO) de SERCOR, aporta su visión respecto de cómo la Compañía y sus filiales están abordando el complejo escenario de la ciberseguridad. “Nunca hemos dejado de hacer las cosas bien, o eso es lo que intentamos hacer dentro de las empresas del grupo. Y estos profesionales que están en este conversatorio lo demuestran con claridad, ya que comprenden muy bien los desafíos de cada una de sus organizaciones y eso creo que es muy relevante desde el punto de vista de la continuidad operativa y de la habilitación de nuevos negocios a partir de la tecnología. Recordemos que lo más probable es que cada vez vamos a ir introduciendo más tecnología en nuestras áreas vitales de negocio. Entonces, nuestra preocupación para los próximos años no va a ser solamente la ciberseguridad TI, sino la continuidad de las áreas de operaciones”.
Promoviendo una cultura de ciberseguridad
Los participantes concuerdan en que las organizaciones deben potenciar una cultura de ciberseguridad, donde el tópico se aborda en el directorio, compromete a la alta gerencia y permea en toda la organización.
Para Hernán Villagrán, la ciberseguridad es un tema que debe estar considerado dentro de las estrategias a largo plazo de las compañías y desde ahí promover una cultura interna. “Creo que en este punto es fundamental la capacitación a los colaboradores, ya que con ellos no podemos aplicar reglas automáticas para que actúen de cierta manera. Por lo tanto, la concientización y cómo ellos tienen que estar preparados, saber qué y a quién tienen que reportar o cómo pueden aportar a la seguridad de toda la organización, es clave. Además, debemos considerar que las amenazas o riesgos no provienen solo desde fuera, sino que también podría existir un componente interno que afecte la continuidad operacional”.
Luis Felipe Espinoza concuerda: “En Copec el gobierno corporativo es clave, porque no solo ayuda a generar conciencia y que eso permee, sino porque es ahí donde se tienen que definir las directrices de cómo vamos a manejar los temas de ciberseguridad. Y eso viene asociado a la definición del apetito de riesgo.
Y eso permite definir rápidamente hasta dónde vamos a llegar, hasta dónde vamos a incorporar servicios, hasta dónde nuestra gente va a estar preparada. En consecuencia, el involucramiento continuo de los altos ejecutivos de las compañías es fundamental para este tema”.
Miguel Hernández complementa: «En Terpel vemos la ciberseguridad como una responsabilidad que trasciende el ámbito exclusivo de TI. Esto se debe a que los riesgos asociados pueden manifestarse en diversos frentes. Por lo tanto, la responsabilidad se comparte y abarca desde el personal de operación hasta los guardias de seguridad física, quienes velan por el cumplimiento de los controles de ingreso a nuestras instalaciones y previenen el acceso no autorizado al edificio. Una brecha de seguridad física en una sede administrativa podría desencadenar situaciones en las que los visitantes se conecten a puertos de red abiertos y se infiltren en nuestra red. Como equipo, actuamos como guía estratégica para la empresa, orientándola hacia objetivos concretos. Sin embargo, es importante entender que no podemos cubrir todas las variables por sí solos. De esta manera, el compromiso de toda la organización es esencial para alcanzar una seguridad integral».
Náyade Zúñiga añade: “En el caso de ARAUCO, yo también agregaría a los proveedores y vendedores, que cumplen una función muy relevante al mantener nuestro escenario de seguridad. Por lo tanto, hay que extender nuestras prácticas de ciberseguridad a aquellos quienes también entregan productos o interactúan con el negocio”.
Miguel Saldías agrega: “En Abastible creemos que es sumamente importante entregarle herramientas a la gente que trabaja en la compañía. Muchas veces asumimos que como nosotros somos especialistas, todos tienen que serlo, y en realidad tenemos muchas generaciones que probablemente nacieron cuando ni siquiera había computadores y nosotros les estamos pidiendo que sepan de ciberseguridad. Entonces, hacer esa bajada de conocimientos es un desafío.
En ese sentido, tenemos un programa de concientización bien variado, que parte desde el onboarding de las personas cuando entran a la compañía, a otras charlas que realizamos durante todo el año”.
Fernando Riveros comenta: “Es importante que toda la organización esté preparada ante escenarios que uno quizás no esperaría o imaginaría que ocurriesen… ¿Quién hace unos pocos años iba a pensar que viviríamos una pandemia? Pero, efectivamente, esas crisis suceden y cuando uno menos lo espera. De ahí la importancia de tener una metodología de respuesta ante incidentes, de tal forma que cuando ocurran tengamos claro qué tenemos que hacer, cuál es el procedimiento, a quién tenemos que llamar, quién tiene que reaccionar primero, cuáles son los pasos a seguir. En esta línea también es importante hacer simulaciones de estos incidentes”.
Al respecto, Carlos Vera señala: “La ciberseguridad es un habilitador de negocios en el mundo actual, donde la tecnología predomina y va a predominar de aquí en adelante. Y ese habilitador de negocio también implica un cambio cultural, donde tenemos tres, cuatro o cinco generaciones que se encuentran ante las transformaciones más brutales que ha sufrido la humanidad en estos últimos siglos. Solo hay que pensar que en las recientes cinco décadas se ha creado el 90% de las patentes de cualquier invento desde que la humanidad existe. Además, la cultura de ciberseguridad no existía hace 20 años. Entonces el trabajo que están haciendo quienes lideran este tema en Empresas Copec y sus filiales es extraordinario, no solo desde el punto de vista del negocio, sino desde el punto de vista de nuestras casas, de nuestros hogares. Porque esa cultura tiene que ser a todo nivel, a nivel país, a nivel de nuestras organizaciones, a nivel de Estado. La coordinación que podamos hacer con el ámbito público, la academia y otras más son vitales en esta necesidad de tener una mayor cultura de ciberseguridad”.
Por su parte, Hernán Villagrán afirma: “Creo que el desafío más grande que tenemos hoy en día es acercar a los colaboradores un área que es altamente técnica, con un lenguaje bien complejo. Tenemos que lograr que ellos entiendan la relevancia de estos temas, porque de lo contrario no lo van a interiorizar jamás. Además, deben tomarlo muy en serio y verlo como un real aporte desde sus funciones.
En esta línea, una de las iniciativas que implementamos desde 2022 en Empresas Copec fue añadir un ítem de ciberseguridad en las evaluaciones de desempeño de todo el equipo, lo que se traduce en darle una mayor relevancia, que los colaboradores le den realmente peso y comprendan que promover la seguridad de la información es responsabilidad de todos y forma parte de su gestión diaria y de su desempeño”.
Náyade Zúñiga puntualiza que desarrollar esta cultura requiere mucho trabajo y esfuerzo. “No se trata de mandar muchos comunicados o de hacer una campaña en el mes de la ciberseguridad, sino de construir una cultura de ciberseguridad, buscando la mejor forma de hacerlo y que sea atractivo para quien lo reciba. El desafío es cómo llegar al colaborador, al usuario, a que se sume a este team de ciberseguridad. Porque frente a un incidente tenemos una cadena de personas que deberían interactuar. El colaborador, desde el punto de vista de quien identifica una amenaza, debería ayudarnos a la contención, pero también a la recuperación. Por lo tanto, es una cadena completa que interactúa en esta problemática”.
Inteligencia artificial: ¿Amenaza u oportunidad?
Los participantes del conversatorio concuerdan en que la IA puede traer impactos tanto positivos como negativos, y que en esta materia un factor clave es el tiempo.
Luis Felipe Espinoza comenta: “Hoy en día esta proliferación del uso de tecnología, fundamentalmente liderada por la inteligencia artificial, hace que la gente utilice cada vez más la información y los datos de manera masiva. Y ahí es donde yo creo que tenemos un tremendo desafío como equipo, que consiste en cómo nosotros nos hacemos cargo de esa capa superior que está sobre la capa táctica de ciberseguridad, que se hace cargo de resguardar los activos de información”.
Miguel Hernández agrega: “Es necesario incorporar inteligencia artificial en el análisis de nuestra telemetría para lograr una visibilidad holística de nuestro ecosistema. Gigantes en este campo como Google y Microsoft están haciendo avances notables, desarrollando capacidades para observar y modelar amenazas específicas que podrían eludir nuestros sistemas de defensa.
Con relación al empleo de inteligencia artificial, nos encaminamos hacia un punto de equilibrio en el que esta se convertirá en una tecnología de uso generalizado tanto para fines ofensivos como defensivos. Es fundamental reconocer que, a medida que avanzamos hacia este objetivo, algunos individuos la aprovecharán con intenciones maliciosas, mientras que otros la emplearán con propósitos beneficiosos. Por lo tanto, en el transcurso de este proceso cobra una importancia absoluta el hecho de superar en celeridad a nuestros adversarios en la adopción de la IA para la defensa, más rápido de lo que ellos la adoptan para llevar a cabo ataques”.
Carlos Vera concluye: “Entre los riesgos que veo en la IA es que esta se use para suplantar tanto a personas, recursos o diferentes elementos de la organización. Otra de las cosas que puede hacer es violar el uso de propiedad intelectual generada por terceros. Por otra parte, se ha detectado, por ejemplo, que en repositorios muy clásicos de desarrollo de aplicaciones, estas IA son capaces de generar códigos sin que sepas que es malicioso. La IA también tiene la capacidad de masificar la personalización de ataque hacia nuestros colaboradores con la generación de correos muy especiales tipo phishing. Ahora, dentro de las oportunidades, mirando el área de ciberseguridad, tiene que ver con poder automatizar nuestros procesos. Y la podemos introducir ya sea en nuestros procesos de monitoreo, de detección, incluso de atención, de respuesta, o que nuestros asociados o proveedores también la puedan incorporar para efectos de dar una cobertura mucho más amplia de lo que nosotros mismos podemos hacer. Eso claramente es un buen uso. La inteligencia artificial es una herramienta extremadamente valiosa si la utilizamos de buena forma”.
¿Cuáles son los desafíos más relevantes en materia de ciberseguridad?
“Yo creo que adaptarse es la clave. Es un hecho lo rápido que está evolucionando la tecnología y cómo esta se va a basar en otras tecnologías ya existentes para seguir creciendo. Y lo importante es que nosotros, en nuestros roles, impulsemos a la gente a que se adapte, a que conozca los riesgos y no quedarnos obsoletos. Si empezamos a trabajar o queremos implementar alguna solución que va a disminuir algunos riesgos, pero nos demoramos mucho tiempo en implementarla, probablemente en ese tiempo ya va a estar obsoleta y va a ser otra la solución que vamos a necesitar, con un enfoque completamente diferente. Así que es fundamental estar siempre a la vanguardia de las nuevas tecnologías y tendencias”.
Hernán Villagrán, oficial de Seguridad de la Información de Empresas Copec.
“Para nosotros, el desafío es que todo lo que hagamos sea en función de responder a una necesidad de la compañía más que solo a una práctica que está escrita en una norma, es decir, que responda efectivamente a lo que ARAUCO necesita, con foco en la continuidad de las plantas y el negocio. Eso es para nosotros la esencia de la ciberseguridad: ser un partner para el negocio en su desafío como empresa, para que crezca y logre sus objetivos estratégicos”.
Náyade Zúñiga, subgerenta de Seguridad de la Información de ARAUCO.
“Un gran desafío es la creación de conocimiento para nuestras organizaciones, de lo que significa el desarrollo y la innovación asociados a la ciberseguridad. La cooperación debe seguir siendo un potencial para desarrollar los temas de ciberseguridad a nivel del Grupo. La ciberseguridad ya no existe solo dentro del ámbito de control nuestro, está en toda la organización, en todos nuestros colaboradores y sus familias, y así sucesivamente. Por lo tanto, la cultura de ciberseguridad tiene que ser realmente uno de los focos fundamentales en el desarrollo de aquí hacia adelante. Y dejé la última palabra que creo que es la que define el modelo de ciberseguridad: la resiliencia. Toda nuestra organización y nuestra supervivencia de negocio están basadas en que seamos resilientes ante un evento de ciberseguridad”.
Carlos Vera, Chief Information Security Officer (CISO) de SERCOR.
“En Abastible, el mayor desafío que tenemos consiste en estandarizar procesos, herramientas y generar eficiencia a partir de las realidades que cada país tiene. En este sentido, la colaboración es clave. Y hemos ido avanzando en ese sentido. Antes, cada país era una república independiente en términos de gestión de la ciberseguridad y no existía la colaboración que hay actualmente. Sin embargo, nos queda aún camino por recorrer, y por eso creo que ahí está el mayor desafío que tenemos en el corto plazo”.
Miguel Saldías, oficial de Seguridad de la Información de Abastible.
«En la gestión de la ciberseguridad, la variable tiempo es determinante y se posiciona como uno de los factores de mayor importancia. Por ejemplo, el tiempo que toma desplegar parches de seguridad, el que tarda actualizar los mecanismos de defensa o se da tratamiento a la obsolescencia tecnológica. Uno de los desafíos más importantes que tenemos es reducir los tiempos de detección y respuesta de amenazas, ya que, en última instancia, la diferencia entre el adversario y nosotros radica en cuán pronto observamos y actuamos frente a comportamientos anómalos que puedan desencadenar un siniestro importante».
Miguel Hernández, director de Ciberseguridad de Terpel.
“Yo creo que es adaptarnos al mercado cambiante, ya que tanto a nivel de herramientas, nuevos desarrollos y en el mercado informático están constantemente saliendo nuevos productos y cada uno de estos tiene una realidad distinta. Además, el mercado está cada vez más evolucionado con respecto a los ataques, amenazas, malware, hackers, etc. De hecho, hoy día el principal motivante para ellos es la parte económica, y a diferencia de unos 20 años atrás, que era como el romanticismo de hacer un virus, ya se habla hoy de un negocio millonario, una mafia que mueve esto. Por lo tanto, yo creo que ese es el principal desafío para nosotros”.
Fernando Riveros, subgerente de TI de Orizon.
“Nosotros vemos grandes desafíos en tres líneas. La primera es la protección de la información, es decir, no solo hacernos cargo de la operatividad, sino también de la información que fluye y que se distribuye en la compañía. Reconocerla, hacerle inventario, clasificarla, definir cómo se va a proteger. El segundo tema es seguir avanzando en la automatización, ya que consideramos que es una tremenda herramienta que te permite ir ganando tiempo. Ya hemos hecho algunos esfuerzos de automatización que han tenido bastantes beneficios para nosotros y creemos que en la medida en que sigamos aportando con la automatización en los procesos de ciberseguridad, podemos ir ganándole un poquito también o acercándonos a la velocidad que tiene la gente que nos quiere atacar. Y el tercer punto es la capacidad de cobertura que debe tener el equipo de ciberseguridad”.
Luis Felipe Espinoza, subgerente de Operaciones y Ciberseguridad de Copec.
Recomendaciones básicas para evitar ciberataques en las empresas
- Potenciar una cultura de ciberseguridad en las compañías. Es importante que los colaboradores sepan cómo aportar y cómo resguardar la información desde sus funciones.
- Usar contraseñas seguras. Que estas no incluyan datos personales (nombre, fecha de nacimiento), números en secuencia (123456) u otra información que pueda ser deducida fácilmente.
- Los datos de acceso son únicos e intransferibles, por lo que no se deben entregar a terceros. Esto aplica para los compañeros de trabajo.
- Verificar que los remitentes de correos electrónicos corresponden a fuentes confiables. Para ello, hay que revisar la ortografía, el pie de firma, el correo electrónico completo, etc.
- Mantener equipos y aplicaciones actualizados. Remediar las vulnerabilidades conocidas de aplicaciones puede prevenir grandes incidentes.
- Respaldar constantemente la información crítica para mantener un nivel adecuado de continuidad operacional y de recuperación ante desastres.
- Ante cualquier sospecha de actividad anómala, informar inmediatamente al área o encargado de Seguridad de la Información, para que puedan hacer el análisis y tomar acciones de manera oportuna.
- Investigar constantemente sobre nuevas tendencias y amenazas en materia de ciberseguridad.