@

Cómo protegerse de los ciberataques

El próximo 10 de octubre, Azerta y la firma consultora internacional FTI Consulting realizarán un workshop para una importante empresa chilena con las claves para enfrentar uno de los mayores riesgos que hoy enfrentan compañías de todos los sectores: los ataques cibernéticos. Laura Murcia, Directora en FTI Consulting, abordará los pasos para estar preparado y gestionar una cibercrisis.

4 octubre 2024

“La amenaza por ciberseguridad es diferente a todas las que conocíamos, pues se transforma constantemente apalancada en tecnologías emergentes. Mitigar las amenazas a la operación y a la confianza de las partes pasa a ser, en este contexto de riesgo altamente volátil, una tarea imprescindible para las organizaciones”, alerta Laura Murcia, directora para Latinoamérica de FTI Consulting, firma global de consultoría que, entre otros servicios, ayuda a las compañías a prevenir y mitigar los riesgos asociados a la ciberseguridad. Con un equipo de más de 8.000 profesionales en todo el mundo, FTI Consulting ha asesorado en cientos de cibercrisis emblemáticas, como el malware que en mayo de 2023 detuvo todas las operaciones del oleoducto Colonial Pipeline en Estados Unidos.

Para la experta, los líderes empresariales en todo el mundo están cada vez más conscientes de las consecuencias de estos peligros y han desarrollado estrategias para enfrentarla: “Es una prioridad, independiente de su tamaño”. De hecho, octubre es el de la ciberseguridad, que busca sensibilizar a los distintos estamos de la sociedad sobre la gravedad de este tipo de delitos y la importancia de prepararse para enfrentarlos.

Esta visión coincide con el Global Risk Report 2024 -elaborado por el World Economic Forum-, que concluye que los ciberataques son uno de los principales problemas que enfrentan las corporaciones. Actualmente, los costos en prevención y generados los daños provocados por este tipo de ataques llegan a los US$9 mil millones anuales, monto que va en ascenso. Esos datos se complementan con un estudio realizado este año por FTI Consulting llamado “Redefiniendo al CISO” (Chief Information Security Officer), que encuestó a más de 700 CEOs de diversos sectores en todo el mundo. Nueve de cada diez de los encuestados afirmaron haber experimentado un ataque cibernético en los últimos 12 meses. El 94% reconoce que la ciberseguridad debería ser la preocupación más importante en sus organizaciones.

Además, el análisis muestra que Latinoamérica es una región en la que persisten grandes brechas en materia de ciberseguridad, muchas de ellas derivadas de la falta de conocimiento y cultura alrededor de estos riesgos, y de las limitaciones de los líderes tecnológicos de las compañías a la hora de transmitir sus preocupaciones a las instancias directivas. Lo anterior, concluye FTI Consulting, aumenta significativamente la vulnerabilidad de la región frente a ciberataques, al tiempo que estos se vuelven más frecuentes. Por ejemplo, en 2023 se detectaron más de 3 millones de ataques diarios en la región. En la misma línea, el 35% de los CEOs que participaron en el estudio de FTI Consulting, reconoció que había sido víctima de lo que se denomina como “ataque de negación de servicios” o DDOS, afectando directamente a los clientes y usuarios.

Si bien existe consenso sobre el rol clave que la ciberseguridad cumple hoy en cualquier compañía, Murcia destaca que “muchas empresas todavía ven este problema solo desde el punto de vista tecnológico. FTI Consulting, en cambio, propone a sus clientes una estratégica holística, enfocada en la preparación y prevención. No se trata únicamente de entender cómo gestionar la crisis en el momento en el que surge el incidente: lo que marca la diferencia en una crisis es qué tan bien está preparada la organización, y eso incluye una etapa de preparación en la que se vale equivocarse”.

Según Laura, países como Brasil, México, Colombia y Chile enfrentan ataques electrónicos prácticamente “minuto a minuto”, ya que muchas empresas latinoamericanas se caracterizan por tener blancos vulnerables en sus operaciones. “Somos la región menos preparada, ya que no se han tomado acciones necesarias y urgentes. A esto hay que sumarle que falta una regulación más moderna y eficiente”, dice la experta.

Aclara que las crisis de origen cibernético son distintas a las tradicionales: “Sus orígenes y formas evolucionan constantemente, lo que se une a que usualmente se enfrentan atacantes completamente desconocidos que pueden tener modus operandi nunca antes vistos. Lo que complejiza aún la situación es cuando se produce la vulneración de datos altamente confidenciales y sensibles. En consecuencia, resulta imperativo trabajar estrechamente con equipos forenses y legales, proteger a los grupos de interés y ser especialmente cuidadoso con las comunicaciones tanto externas como internas”. Laura advierte que el atacante puede adelantarse a la reacción de la empresa víctima y exponerla públicamente a situaciones que no está preparada para enfrentar.

Debido a estas dificultades emergentes, FTI Consulting recomienda a sus clientes desarrollar protocolos claros y específicos, y difundirlos ampliamente en todas las áreas de la organización. Entre las claves está establecer un comité de crisis antes de producirse un atentado, y no como respuesta a uno. Los roles y responsabilidades de cada miembro de la institución deben estar bien definidos, así como los flujos de toma de decisiones, los grupos de interés a los que hay que poner especial atención, a los posibles escenarios y a las obligaciones regulatorias y contractuales. La consultora recomienda realizar simulacros y ensayos para probar -de manera controlada- cómo la organización enfrenta este tipo de incidentes. “Esta visión es altamente efectiva para preparar a los equipos a manejar una crisis y evitar los efectos catastróficos que esta podría generar”.

En este contexto, la figura del CISO es fundamental. El problema es que muchas veces estos tienen problemas de comunicación con los lideres de la compañía y con los miembros de las juntas directivas. El 62% de los ejecutivos consultados por el estudio de FTI Consulting confesó que los CISOs utilizan un lenguaje excesivamente hermético y técnico, que no termina por transmitir el retorno y los beneficios de la inversión en ciberseguridad. “Parte de nuestra asesoría consiste en acercar al CISO al resto de la organización y hacer más fluida la comunicación”, asegura Laura.

Taller en Chile

Para transmitir en nuestro país esta experiencia y las buenas prácticas en el manejo de la ciberseguridad, el próximo 10 de octubre FTI Consulting y Azerta realizarán un workshop práctico para el equipo directivo de una de las compañías de transmisión energética más grande en Chile. A cargo de Laura Murcia, el objetivo es evaluar cómo sus líderes internos manejarían una crisis provocada por un ciberataque. A través de este simulacro, los participantes ensayarán cómo se responde a este tipo de situaciones. Luego, sobre la base de esta experiencia, los consultores entregarán recomendaciones prácticas para mejorar la gestión de crisis.

“Nuestro trabajo en FTI Consulting comienza con un diagnóstico a la ciberseguridad actual de la compañía y de su relevancia interna. Con esos datos, presentamos un plan para desarrollar las habilidades de los líderes internos y de sus equipos. Cuando efectivamente se produce un riesgo, los acompañamos en la gestión de las comunicaciones corporativas e internas, desarrollando las narrativas adecuadas, y en la gestión de las relaciones con sus distintos grupos de interés. Una vez superado el incidente, analizamos las lecciones aprendidas y cuáles son las nuevas medidas que se deben implementar”, adelanta la experta.

Todas estas acciones, agrega la experta, están enfocadas en lograr el principal desafío comunicacional de toda empresa moderna: construir una resiliencia reputacional sólida y duradera, preparada para enfrentar exitosamente las amenazas provenientes del ciberespacio.