Cuando hubo que acatar las restricciones de distancia marcadas por la contingencia sanitaria del COVID-19 muchas empresas, sobretodo medianas y pequeñas, tuvieron que enviar a trabajar a casa a su personal súbitamente y sin pensar en los protocolos de ciberseguridad. Cómo hacer conexiones remotas, el tratamiento de información sensible e incluso la descarga de aplicaciones no fueron parte de los protocolos prioritarios al mudarse al home office; sin embargo, ahora a más o menos dos meses de que inició la cuarentena, el volumen de ciberataques a empresas ha incrementado en el país y solo 37% de las firmas mexicanas cuenta con algún protocolo de respuesta ante un incidente como estos.
“Con todo el tema de la pandemia se han abierto nuevos vectores en ciberseguridad (…) las pymes están más vulnerables y la razón es que al mandar a sus empleados a trabajar en casa muchas han optado por tecnología no licenciada si no de software libre y esto aumenta su la exposición al riesgo. Solo 37% de las empresas contaba con planes para actuar contra este tipo de delitos”, dijo Fernando Román, socio de la práctica de ciberseguridad y privacidad de la consultora PWC.
Román recomendó a las empresas endurecer sus políticas de ciberseguridad ahora para minimizar el incremento de ataques que se prevé. La revisión de los protocolos de ciberseguridad se debe dar tanto en empresas como a nivel gobierno.
“Se tienen que reforzar las políticas que regulen datos sensibles; se tendrán que revisar y endurecerse para proteger los datos en un ambiente ahora más conectado también tendrán que seguir nuevas regulaciones en las que los dueños de la información tengan más responsabilidad sobre sus datos; nosotros vamos a tener que ser más responsables”, sugirió.
La consultora Cybersecurity Ventures estimó que para 2021 los daños por ciberataques sumarán 6 billones de dólares.
Lo que sí y lo que no
Datos de la consultora indican que en los últimos 24 meses 29% de las unidades de negocio en el país han sido víctimas de un ciberataque y se espera que esta cifra aumente conforme exista una mayor exposición a la conectividad.
Ante este panorama, algunas de las recomendaciones más concretas para proteger mejor los sistemas de una empresa son: no usar software libre, establecer políticas rígidas de descarga de aplicaciones y controles de acceso a ciertos tipos de información.
Y si bien el tercerizar actividades como el monitoreo de redes o protección de sistemas de perímetro es una tendencia y permite que un experto se haga cargo de actividades en las que la firma, la mayoría de las veces, no está especializada, Román recomendó no confiar el acceso a controles de información sensible a un tercero.
“Hay que tener muy claro qué pones en las manos de un tercero; se podría ceder el monitoreo de las redes pero con límites claros”, dijo.
