Jorge Osorio, Director de Servicios de Consultoría de CSI, nos hace sus comentarios sobre los riesgos y retos que surgirán en los próximos años en la industria de ciberseguridad.
 

¿Qué riesgos se vislumbran en materia de ciberseguridad en los próximos 3 años?

“Aunque el sector financiero seguirá siendo atacado, cada vez surgen más ataques que evidencian también las debilidades de sus proveedores y socios de negocio, quienes no han adoptado medidas de seguridad de la información suficientes para garantizar la mínima privacidad de datos.

Casos como el de RECREMEX, en donde se filtraron más de 30 mil datos de personas morosas, seguirán sucediendo porque es más fácil para el ciberdelincuente apuntar a quien tiene medidas de seguridad más relajadas (en el menor de los casos) o inexistentes, que a la institución financiera.

En el caso particular de México, el sector gobierno se encuentra en uno de los peores momentos por la cantidad de incidentes que han sufrido en un corto periodo, iniciando en 2018 con el SPEI de BANXICO, en 2019 con PEMEX y este año con el de la Secretaría de Trabajo y Previsión Social; así como el posible “incidente” que sufrió el SAT hace aproximadamente un mes, donde por efectos de “mantenimiento” no tuvieron disponibles diversos servicios importantes para los contribuyentes por casi 2 semanas. ¡Demasiado tiempo para un mantenimiento!

Otro factor de vulnerabilidad para el Gobierno Federal es la política de austeridad adoptada, la cual pone a secretarías y dependencias en el ojo de los ciberatacantes, por lo que el reto en los próximos años para el gobierno actual será mantener el equilibrio correcto entre ahorro (o austeridad) y garantizar la seguridad y continuidad de los servicios para los ciudadanos.

También, continúa siendo un gran reto consolidar la Estrategia Nacional de Ciberseguridad pues se ha mantenido estancada desde 2018. En este punto, los pilares de dicha estrategia, sociedad, gobierno, sector financiero e IP, debemos impulsar a que pueda implementarse y no quede en un simple documento.”
 

¿Y cuáles son los principales temas que impactarán a la industria en estos próximos años?

“Con el COVID-19, las empresas deberán tomar en cuenta medidas que garanticen que los usuarios sigan operando y utilizando los sistemas de la organización a través de tecnología, con accesos seguros para realizar sus actividades desde casa y no solo en un sitio alterno, como se consideran en la gran mayoría de los planes de continuidad de los negocios.

Se debe tomar en cuenta que este tipo de planes conllevan diversos análisis y estudios previos para obtener siempre el mayor costo/beneficio sobre la implementación de los mismos, y pueden tardarse en implementar desde 6 meses hasta 2 años, dependiendo del tamaño de la organización.

Otro tema a considerar se refiere a que el usuario sigue siendo el eslabón más débil en la cadena de controles de seguridad de la información, por lo que las organizaciones deben apuntar a brindar pláticas especializadas a sus diferentes áreas, para sensibilizarlos sobre los riesgos en ciberseguridad.

Por otra parte, la carencia de actualizaciones a la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) y muchas otras regulaciones (CNSF, CONSAR, SAT Anexo 28 y 30, entre otras) facilitará que los huecos en seguridad aumenten y que solo se utilicen como un requisito más, sin tomar en lo principal, que es brindar seguridad de la información y ciberseguridad en la operación de las organizaciones.

Dentro de este punto, se puede incluir la falta de regulaciones de peso como las del sector salud para garantizar la privacidad de los expedientes médicos”.

Las diferentes temáticas abordadas por Jorge Osorio obligan a organizaciones, tanto públicas como privadas, a analizar el estatus actual de su plan de acción en ciberseguridad y replantearse su funcionalidad ante los retos que se avecinan.

Encuentra soluciones de vanguardia para la protección de tu empresa, e información de primera mano de expertos en la materia, en Infosecurity Mexico 2020.