Pymes peruanas usan la confianza cero para enfrentar riesgos de ciberseguridad

Hoy en día, los desafíos de ciberseguridad empresarial en el Perú son más complejos y determinantes, e invitan a reflexionar sobre cuán vulnerables pueden estar las organizaciones ante nuevos riesgos informáticos. No solo en el caso de las grandes empresas, sino también aquellas que no cuentan con un gran presupuesto para protegerse, como las pequeñas y medianas empresas (PYME).

Teniendo en cuenta ese escenario, ComputerWeekly en Español conversó con Giancarlo Ocampo, director comercial para Perú de NeoSecure by SEK, quien precisa que las empresas de todo tamaño deben optimizar y priorizar sus recursos clave de manera estratégica, para reducir la superficie de ataque y garantizar la protección de su información, la de sus clientes y el futuro de sus negocios.

Considerando el creciente número de ciberataques, ¿cómo pueden las pequeñas y medianas empresas peruanas optimizar sus inversiones en ciberseguridad?

Giancarlo Ocampo

Giancarlo Ocampo: La ciberseguridad, en 2024, es una prioridad creciente para todas las empresas, especialmente para las pequeñas y medianas que, a raíz de los recursos limitados que puedan tener –y, por ende, no contar con presupuestos tan holgados–, tienen que optimizar sus inversiones para reducir la superficie de ataques.

Las pymes podrían, como estrategia número uno, hacer una evaluación de punto de partida de los riesgos, identificar qué tan vulnerables son a través de sus sistemas, a través de sus procesos, con la tecnología, ver la capacitación de sus colaboradores, hacer esa evaluación. Lo segundo es el entrenamiento, la capacitación, concientizar al personal y colaboradores sobre las buenas prácticas en ciberseguridad.

Un tercer aspecto es la actualización de todo el software. Mantener los sistemas actualizados es un punto de partida, dadas las limitaciones mencionadas. En cuarto lugar, verificar el correcto sistema de respaldo, las copias de seguridad periódicas, que es algo que sabemos que debemos hacer, pero a veces falta un cronograma adecuado y gestión sobre todo ello.

Un quinto punto son las soluciones gestionadas, las contrataciones de servicios a través de un tercero, de empresas especializadas en ciberseguridad para ayudar a las pymes a contar con un sistema y una seguridad mejoradas. Como sexto punto está la autenticación; hoy las pymes deben tener un doble factor de autenticación como mínimo. Y, lo último, es establecer políticas de seguridad claras y concisas dentro de cada organización.

Al implementar estas medidas se puede reducir significativamente la superficie de ataque, protegiendo los activos más valiosos, sin incurrir en grandes gastos.

¿Qué impacto ha tenido la implementación de modelos como zero trust en infraestructuras críticas en Perú, especialmente en sectores como banca, telecomunicaciones y retail?

Giancarlo Ocampo: La implementación de modelos zero trust en Perú ha revolucionado la manera en que las empresas –especialmente de los sectores como banca, telecomunicaciones y retail– abordan la seguridad de sus infraestructuras. Este enfoque ha generado impacto positivo en varios aspectos, como un mayor nivel de confianza y verificar de forma constante la identidad y autorización de cada usuario y dispositivo, independientemente de su ubicación en la red. Así se reduce significativamente la superficie de ataque y se incrementa la confianza de los sistemas.

La detección temprana de amenazas es otro punto. Zero trust permite identificar y responder de manera más rápida a incidentes de seguridad, ya que cada acceso a los recursos es identificado y registrado. Hay protección de los datos sensibles. Los sectores de banca, telecomunicaciones y retail manejan grandes cantidades de datos sensibles, y zero trust ayuda a proteger el acceso a estos datos, limitando el acceso a solo aquellos que lo necesitan bajo condiciones estrictamente controladas.

En cuanto al cumplimiento normativo, hay muchas regulaciones en materia de ciberseguridad, tanto a nivel nacional como internacional, que alinean sus requisitos con los principios de zero trust, ya que la adopción de este modelo ayuda a las empresas a cumplir con estas normativas, y obviamente a evitar ser sancionadas.

Por último, la resiliencia, ya que al distribuir la confianza y reducir la dependencia en, por ejemplo, perímetros de red tradicionales, zero trust hace que la infraestructura sea más resiliente ante ataques cibernéticos.

Con estos cinco puntos quiero mencionar que la implementación de zero trust ha sido fundamental, no solo para elevar el nivel de ciberseguridad en los sectores mencionados, sino también en todos los demás. Al adoptar un enfoque zero trust, las empresas peruanas están demostrando su compromiso con la protección de los datos, los de sus clientes, que es algo muy valioso, y obviamente con la continuidad de sus operaciones.

¿Cómo se está preparando el sector empresarial peruano, especialmente las pequeñas y medianas empresas, para enfrentar el creciente riesgo del ransomware?

Giancarlo Ocampo: Los ataques de ransomware en Perú tienden a dirigirse, en estos últimos dos años, sobre todo a sectores clave como gobierno, educación, salud y retail, donde han encontrado ciertos nichos. Estas empresas están siendo constantemente atacadas. También vemos que está proliferando recientemente el ransomware como servicio, ransomware as a service, que ha facilitado a diversos actores maliciosos que tienen poco conocimiento, y están empezando en el mundo de ataque a las empresas, técnicas que pueden lanzar pagando para realizar ataques sofisticados, lo que ha aumentado la frecuencia y variedad de estos casos dentro del país.

Otro punto diferenciador son los engaños sociales que vemos constantemente, el phishing y la ingeniería social, que son especialmente comunes y aprovechan la falta de conciencia sobre ciberseguridad de diferentes sectores, no solo de la población, sino de los mencionados como gobierno, educación salud y retail.

¿Qué hacen las empresas peruanas? Toman conciencia de lo que implica esta amenaza y están implementando diversas medidas para protegerse, como:

• la adopción de herramientas de detección temprana;
• el entrenamiento a través de campañas de concientización a sus colaboradores;
• el fortalecimiento de las copias de respaldo, ya sea en la misma organización o en la nube;
• la implementación de parches de seguridad de manera automática para mitigar vulnerabilidades;
• estructurar o reorganizar los planes de respuesta ante incidentes de manera rápida y eficaz; y
• la adquisición de soluciones y contratación de servicios especializados a través de un tercero especializado en ciberseguridad, que es algo que están tomando en consideración también las empresas peruanas.

Lo que observamos, en resumen, es que el panorama de ataques de ransomware en el Perú es complejo y presenta desafíos únicos. Sin embargo, las empresas están tomando medidas para protegerse.

Finalmente, considerando la creciente adopción de tecnologías como la inteligencia artificial en la gestión de identidades, ¿qué desafíos específicos enfrenta el sector financiero peruano en cuanto a ciberseguridad?

Giancarlo Ocampo: La adopción de la inteligencia artificial en la gestión de identificación en el sector financiero peruano, si bien ofrece grandes beneficios en términos de eficiencia y personalización, también plantea desafíos únicos en materia de ciberseguridad. Los principales desafíos que podría mencionar son los riesgos de sesgos algorítmicos, pues los modelos de IA pueden perpetuar los sesgos presentes en los datos de entrenamiento, lo que podría llevar a decisiones de autenticación injustas o discriminatorias, afectando la inclusión financiera de diferentes personas.

El segundo es los ataques de adversarios. Se puede manipular datos de entrada con los modelos de IA para obtener acceso no autorizado y cometer fraudes, por ejemplo, creando imágenes falsas de rostros para engañar a los sistemas de reconocimiento facial. En tercer lugar, está la privacidad de los datos, con la gestión de identidades basadas en IA, lo que implica el procesamiento de grandes cantidades de información personal, lo que plantea importantes desafíos en cuanto a la protección de la privacidad y el cumplimiento de las regulaciones.

Como cuarto punto tenemos la confianza en la tecnología, pues, a pesar de los avances, la confianza en los sistemas de IA aún es limitada. Los consumidores y las instituciones financieras deben trabajar para que los sistemas de autenticación basados en IA sean seguros y confiables. En quinto lugar, vemos la complejidad de implementación de soluciones de IA que, para la gestión de identidades, requiere de conocimiento especializado y una inversión significativa en infraestructura, así como en personal.

Como sexta consideración están los entornos híbridos, pues hoy en nuestro mercado coexisten sistemas legacy, heredados, y nuevos. La integración de soluciones de IA podría ser por ello compleja en ambos entornos, y aumentar la superficie de ataques. Finalmente, está la escasez de talento, con una demanda de profesionales con conocimientos de IA y ciberseguridad que supera la oferta actual en el mercado, lo que dificulta la implementación y gestión de soluciones.