Episodio 2| Ciberseguridad corporativa

Por Andrea Chanquet y Rafael Pereira, profesionales de PwC Uruguay. 

 

Referencias:

-        E: Entrevistadora - Alejandra Labraga

-        A.C: Andrea Chanquet - senior associated del área de Asesoramiento Tributario, Legal y Contable de PwC Uruguay.

-        R.P: Rafael Pereira - gerente de ciberseguridad de Consultoría de Negocios de PwC Uruguay.

 

 

-        E: Hola, bienvenidos. Llegó el momento de abrir este nuevo episodio de los pódcast de PwC Uruguay con una temática más que interesante y actual. Vamos a hablar de ciberseguridad, y como ya te comentábamos, la intención de este espacio, de este pódcast, es llegar a empresarios, como vos, a emprendedores, a todos aquellos interesados en estos temas que pueden tener impacto dentro de su empresa, de su organización, de su emprendimiento y poder conversar con profesionales del equipo de PwC Uruguay sobre diferentes temáticas. Hoy tenemos en la mesa a Andrea Chanquet. ¿Cómo estás Andrea?

 

-        A.C: ¿Qué tal Alejandra? ¿Cómo estás? Un saludo para ti y para todos los que nos están escuchando.

 

-        E: Un gusto recibirte. Andrea Chanquet es abogada y senior associated del área de Asesoramiento Tributario, Legal y Contable de PwC Uruguay. Y también está con nosotros Rafael Pereira. ¿Cómo estás Rafael?

 

-        R.P: Un gusto Alejandra. Un gusto compartir este espacio con todos aquellos oyentes que les interesa el tema, que pienso que no debe haber quien no. 

 

-        E: Exactamente. Rafael es gerente de ciberseguridad de Consultoría de Negocios de PwC Uruguay, y con ellos vamos a hablar acerca de este tema tan interesante. Bueno, hoy vamos a hablar de un tema que sí será actual y que además avanza a una velocidad realmente muy, muy, muy rápida. Ya vamos a hablar sobre ese tema también de los cambios como llegan de forma tan rápida. Cuando mencionamos la palabra ciberseguridad creo que todos prestamos mucha atención porque en los últimos años la gran mayoría de nosotros estamos vinculados con estos temas, ya sea transitando por ciberespacio, por temas recreativos, laborales, financieros, empresariales, que son los que vamos a atender principalmente en este tema. Y hay muchas aristas, no solamente los aspectos tecnológicos, sino también los legales. O sea que estamos hablando de un tema que se puede abordar desde áreas multidisciplinarias, ¿no?

 

-        A.C: Sí, sí, absolutamente. Para nosotros resulta fundamental tener en cuenta eso. Que a la hora de hablar de ciberseguridad tenemos que hacer un abordaje integral e interdisciplinario y trabajar legales y tecnológicos en conjunto para poder hacer que las organizaciones tengan una estrategia completa e integral respecto del tema. Estamos inmersos en la era de la digitalización, ya no es novedad para nadie, como vos decías, forma parte de nuestra vida diaria en todos los aspectos. Ahora, que ha habido un aumento vertiginoso también de los datos digitales, de la digitalización de datos y del flujo de datos digitales en todos los aspectos también es algo que todos sabemos. Todos trabajamos desde la digitalización, desde medios tecnológicos, tenemos información financiera, económica, de salud a través de distintas tecnologías. Y bueno, eso hace importante y relevante el hecho de que también tengamos en cuenta que detrás de este flujo de información y de los datos digitalizados, hay datos personales. Y los datos personales tienen una protección particular, una protección legal, una normativa aplicable a eso. Y en última instancia, todo lo que hace a la seguridad de la información, a la ciberseguridad, tiende a o nos lleva a la protección de esos datos personales contenidos necesariamente en ese flujo de información. Por eso estamos hablando abogados y tecnológicos en conjunto. Hay una necesidad de conocer lo que es la normativa aplicable en la materia, cuáles son los derechos de los titulares de esos datos personales que van a estar contenidos en esa información y en esos datos digitalizados, que la realidad también es que los titulares de esos datos hoy en día están en mayor conocimiento de cuáles son los derechos que tienen respecto de sus datos. Estos datos hoy en día para todas las organizaciones son un activo, son un activo crítico. En muchos casos, son un activo sensible por el tipo de datos que tratan. Entonces, sí es necesario que en todo este panorama se conozca cuál es la normativa, ¿y por qué? Porque asociado a toda esta digitalización que veníamos hablando, también ha habido un aumento exponencial de las amenazas y de los ataques que esa información digital ha venido sufriendo. La pandemia nos dejó mucho de eso, todos lo sabemos. Pero también el mundo ya venía mirando en ese sentido desde hace unos años, porque hay normativa que es anterior a la pandemia, tanto desde el punto de vista de protección de datos como de los marcos de ciberseguridad que deben aplicar las organizaciones. Entonces, la realidad es que es un abordaje complejo, interdisciplinario, que requiere de distintos enfoques para estar realmente abarcado en todos sus aspectos.

 

-        E: Perfecto. Rafael, recién decía Andrea cómo esto ha avanzado y cómo el tema de la pandemia, que muchos de nosotros comenzamos a hacer más el teletrabajo, que algunas personas ya lo estaban efectivizando, pero todo este tema de estar en casa nos obligó y a las empresas también a readaptarse. Algunos siguen también en modalidad híbrida después de esto, y ha llevado a la digitalización a una velocidad que tal vez no era la que las organizaciones tenían dentro de su esquema, de su plan de trabajo. Y esto sin dudas ha cambiado la realidad, ¿no? Desde el punto de vista de ustedes, ¿cómo acompasar esos tiempos para los empresarios, los emprendedores que nos están escuchando?

 

-        R.P: Bueno, muy interesante lo que decís y lo que comentas porque es la percepción que tiene todo el mundo, ¿verdad? En el mundo que estamos viviendo hoy, durante la pandemia y pos pandemia se dio la misma situación. Acá hay dos temas que hay que separar. Uno es la realidad de las empresas que, por un lado, no estuvieron preparadas en el momento de una migración compulsiva, una migración condicionada por el mercado y por la situación, que los llevó a una digitalización impresionante en poco tiempo. Y es sabido que la mayoría de las organizaciones no estaban preparadas para eso, por lo cual tuvieron que afrontar desafíos muy importantes. Entre ellos, el tema del teletrabajo. El teletrabajo es algo que abrió muchas posibilidades para poder subsistir a las empresas pero, a su vez, abrió grandes puertas de inseguridad, al control de lo que son los datos y la información que manejan las corporaciones. Ahí como referencia Alejandra te puedo comentar que PwC realiza una encuesta anual mediante la cual de alguna manera refleja cuál es la situación de ciberseguridad a nivel mundial. Esta encuesta es corporativa, se hace en todo el mundo y con las compañías más importantes de distintos rubros inclusive. Datos relevados del 2021, que es la que nosotros llamamos Global Digital Trust Insights 2022, se publica en el 2022, reflejaron que hubo un aumento de 150% en ataques de ciberseguridad. Eso con un costo promedio de 4,24 millones de dólares cada incidente, cada evento que se hace luego realidad. Obviamente, esto es a nivel mundial y este costo incluye la recuperación, la investigación, el aumento de los seguros que tuvieron que absorber las compañías, el lucro cesante por estar indisponible o no poder llevar adelante sus negocios, multas de organismos reguladores, impacto de imagen, impacto del valor de la acción por ende, y el propio costo del robo de la información, más allá de otros costos inclusive de resarcimiento a privados, a personas dueñas, un montón de temas que se incluyen en 4,24 millones de dólares por evento. Esto, obviamente lo del Covid habló, hizo un escenario totalmente surrealista para los hackers. Les abrió un mundo de oportunidades, tanto por esa digitalización acelerada que provocó el Covid, como por otro punto muy importante que fue el conflicto con Rusia-Ucrania. Esto generó un ataque masivo a nivel gubernamentales. Van dirigidos a gobiernos, a datos de información de gobierno e inclusive dirigido a saturación de servicios para que los servicios que están publicados en la web no puedan ser accedidos. A nivel estatal, a ese nivel habló.  Ese ataque es generado a partir del desarrollo de software para poder realizarlo. El tema es que ese software queda después en la dark web disponible. Cualquier otro atacante lo puede tomar y, en vez de atacar un gobierno, ataca una empresa. Es por eso que tuvimos este impacto tan grande de 150% de crecimiento. Es todo un tema para tratarlo, podemos desarrollarlo más, pero creo que como pantallazo inicial nos abre los ojos.

 

-        E: Me parecería importante, ahora que estabas hablando de esto y los temas que vienen tocando los dos, el bajar un poco a tierra cuando hablamos de un ciberataque. Porque no todos, todo el mundo, tiene muy claro de qué se trata. En el día a día, por ejemplo, estamos todos en contacto con redes sociales, cada tanto vemos que alguna figura pública dice “me hackearon la cuenta” y de repente, si uno revisa el timeline, ve por ahí que hay publicaciones que lejos están de la forma en la cual publica esa figura pública habitualmente y dice “ah bueno sí, alguien le tomó la cuenta” y puede publicar en su nombre cosas que obviamente están fuera de lugar o ingresar a un sitio web y encontrar algún mensaje del hacker que colocó en la homepage. Esos son como lo habitual en el día a día. Pero cuando estamos hablando de empresas, ¿cuáles son los riesgos? Es decir, ¿qué tipo de ciberataques son los más comunes a los cuales puede estar expuesta una empresa?

 

-        R.P: Bueno, ahí técnicamente hay una palabrita que se hizo muy famosa en el último tiempo que son ransomware. Entonces, es bueno que los empresarios, las empresas, los funcionarios de empresas tengan muy en claro lo que es un ransomware. Un ransomware es lo que antes llamamos una especie de virus, algo que de alguna manera obtiene alguna forma de penetrar y entrar en nuestra red de información, o sea, en nuestra infraestructura. Trato de explicarlo lo más comprensible para todo el mundo.

 

-        E: Sí, gracias.

 

-        R.P: De alguna manera, una vez alojado ahí tiene muchas modalidades de trabajo. Una de ellas es inmediatamente empezar un proceso de encriptación de toda la información que tengamos en los servidores, en las laptops, teléfonos, todos dispositivos. La otra es alojarse e ir tomando el control y viendo las vulnerabilidades y de alguna manera guardando eso como un registro para poder planificar un ataque cuando tenga el 80% o 90% del servidor revisado. Entonces, de esa manera se hace mucho más rápido, con un impacto mucho más alto e inmediato. Este ransomware encripta con un nivel de encriptación que es difícilmente desencriptable. ¿Qué quiere decir eso? Que tenemos que ir a recuperar respaldos que tengamos, siempre y cuando no hayan sido afectados también por el ransomware. Entonces, llevado a la práctica, no salva a tener un respaldo. No salva a tener siete respaldos en la nube, en discos externos, no es esa la salvación, no es el proceso correcto de proteger nuestra información técnicamente. Hay procesos que deben hacerse antes y cuidados en esos procesos que deben llevarse a cabo para que no llegue a suceder eso.

 

-        E: Andrea, sí.

 

-        A.C: Sí, lo que decía Rafael justamente está asociado a la prevención, ¿no? Uno de los principales aspectos que hay que tener en cuenta en toda esta temática, en los ciberataques, en la ciberseguridad, en la seguridad de la información y, en última distancia, en la protección de los datos y también de la infraestructura, porque no solamente los datos están afectados, como decía Rafael, sino la funcionalidad también de los sistemas y etcétera, es el tema de la prevención. A ver, una vez que nos sucede o tenemos el infortunio de ser víctimas de un ataque de este tipo, bueno, está bien, tenemos que ver cómo lo solucionamos y eso será otra instancia, pero lo mejor que podemos hacer es estar preparados y estar prevenidos para no ser víctimas de estos ataques. Y para eso es necesario, como decíamos anteriormente, conocer todo el marco de actuación y de obligaciones y de requisitos que establece la normativa y también de los aspectos tecnológicos que en ese marco se pueden llevar a cabo, se pueden implementar para evitar. Sabemos que infalible no hay nadie, no hay ningún sistema infalible. Por supuesto, ninguna persona infalible, todos podemos equivocarnos y hacer un click donde no debemos, porque esa es una de las vías de entrada, pero también, entonces, aparte de lo que es la previsión en el conocimiento de la normativa, en una buena disposición de los sistemas y de la seguridad de los sistemas, también está la capacitación. Porque el eslabón generalmente más vulnerable en la vía de acceso es el factor humano, que a veces distraídos en el día a día hacemos un click donde no debemos y ahí abrimos una puerta de entrada a estos ataques o estas amenazas. Entonces, la capacitación y el conocimiento de todos los colaboradores de una organización de una firma también es un factor sumamente relevante.

 

-        E: Eso mismo te iba a preguntar Andrea. Tal vez ahora nos está escuchando un CEO, un director, un gerente, y dice “bueno, a ver, ¿quién tiene que capacitarse en esta acción preventiva?, ¿los altos mandos o todo el personal?” Por lo que vos estás diciendo sí, obviamente que quienes tienen cargos directivos tienen que estar muy al tanto de todo esto, de las acciones a tomar, no obstante, eso tiene que derramar en la pirámide de toda la empresa.

 

-        A.C: Sin duda, los altos cargos van a influir, tienen que estar capacitados por todo lo que es la estructuración del negocio y tomarán las decisiones a otro nivel. Pero cualquier persona, cualquier colaborador que tenga acceso a lo que son los sistemas, a los repositorios, a los dispositivos, etcétera, tiene que estar capacitado y aún así, es más, no sólo dentro de la organización. Hay un tema también de la cadena de custodia, de lo que es la información que las organizaciones, que las empresas tienen. Porque muchas de las organizaciones tienen servicios tercerizados, tienen proveedores que en virtud del servicio que ofrecen también tienen acceso a lo que son las bases y la información de la organización. Entonces, esos colaboradores de mis proveedores también deberían estar capacitados. ¿Yo me tengo que ocupar de la capacitación de los colaboradores de un proveedor mío? Bueno, no, pero sí debería estar atento a contratar o a contar con proveedores que medianamente puedan probar o me aseguren que sus colaboradores también cuentan con una capacitación y que van a tener una diligencia de vida en lo que es el tratamiento de los datos y de la información a la que van a acceder que es mía y que mis clientes, mis colaboradores, me confiaron a mí como organización y que el día de mañana si sucede algo, es a mi a quien van a reclamar.

 

-        R.P: Hay una aclaración que es muy importante. Cuando hablamos de capacitación o concientización, se da la práctica, y esto es un dato interesante, que uno de los puntos más vulnerables que a su vez está más compenetrado con el compromiso de asegurar la protección de los datos dentro de las organizaciones es la parte directiva. Pero por un tema lógico, estos ataques no están desarrollados o llevados adelante aleatoriamente. Hay una inteligencia social que se desarrolla detrás de esto para poder acceder a nuestras vulnerabilidades más comunes. ¿Y por qué cuando Andrea decía de prestar atención todo el día y por qué el factor humano? Porque es sencillo, nosotros pasamos prestando atención a nuestras actividades diarias, a nuestro trabajo diario. Entonces es común y es normal que no esté en nuestra cabeza durante el 100% del momento la protección ante un fishing, un correo con un gusano de ransomware, alguna cosa sospechosa de un sitio web. Entonces, por eso se aprovecha esa vulnerabilidad. Por eso es que se basan estos ataques en ciberinteligencia y uno de los factores que tiene justamente miles de temas para tratar son los directivos. Los directores, los gerentes corporativos, a veces son los que tienen la cabeza en miles de temas durante todo el día que no pueden estar o son muy vulnerables a hacer un click. De hecho, tengo varias anécdotas de hacer un click en un correo y permitir que un ransomware ingrese a la corporación. Entonces la concientización es total y continua. No es una capacitación. La capacitación es algo puntual, decimos qué es, cómo se previene y terminó. La concientización son planes que desarrollamos permanentemente para mantener vivo los conceptos y los sistemas de protección también.

 

-        E: Excelente punto. Porque además, sí la tecnología va muy rápido, es más, el marco legal a veces va un poco a contratiempo, va más lento a todo lo que es la adaptación legal respecto a estos temas, pero los chicos malos van muy rápido, ¿no? O sea, están super acelerados y buscando siempre la forma de ingresar. Entonces como para hacer un resumen, hablamos de prevención, hablamos de capacitación, recién mencionabas la palabra concientización y también podemos incluir el tema de la actualización por esto mismo que decíamos, de que la tecnología va cambiando muy rápido y con eso también las amenazas, y lo que ustedes mencionaban hoy del tema de las acciones posteriores y ahí si algo nos sucede en la organización y sufrimos un ataque cibernético, ¿cuáles son las acciones posteriores? ¿Cómo encarar esa salida a la prensa para comentar lo que pasó si trabajamos con datos personales que fueron vulnerados? ¿Cómo defender la imagen de la empresa, la posible baja de las acciones? Es decir que son puntos que hay que ir tratando y hay que tener muy en cuenta a la hora de pensar en este tema que, como decíamos al comienzo, es un tema multidisciplinario.

 

-        A.C: Alejandra, a lo que tú decías yo te agrego dos conceptos. La importancia de realizar un diagnóstico, es decir, sacar una foto de dónde está parada la organización respecto de estos temas, eso es importante, y también poder ir realizando auditorías posteriores, porque en esto del avance de la tecnología nos deja a todos obsoleto de un minuto a otro y ni que hablar a lo que es la normativa, que es verdad que muchas veces la corre de atrás. Si bien es cierto que nuestro país tiene una normativa muy aggiornada, alineada con lo que son los estándares internacionales, también es verdad que tiene otros tiempos. Pero realizar un diagnóstico y realizar auditorías periódicas es parte de prevención también, simplemente para sumar esos dos conceptos.

 

-        R.P: Hay otra palabrita que está muy de moda también y que es aplicable al 100% acá, la resiliencia, pero en este caso es la resiliencia corporativa. La posibilidad o el desarrollo de una rápida recuperación de las empresas ante un ataque. Porque sabemos que cuando se produce el ataque, la empresa entra en shock, la mayoría de las personas no saben qué hacer, los clientes no están enterados, los proveedores tampoco lo están, problemas contractuales que surgen a partir del no cumplimiento de algunas cosas, temas de indisposición del servicio, ¿y cómo seguimos?, ¿qué hacemos? El poder de resiliencia es prever, como decía Andrea, los aspectos normativos, legales, estructurales, pero definir los procesos de tratamiento de incidentes de seguridad de la información, y esto implica qué hacemos, cómo contenemos, cómo nos recuperamos, cómo analizamos cuál es la forma de investigar profundamente y si la compañía necesita hacer eso para saber qué vulnerabilidades tiene para evitar futuras, y por último, incidentes que puedan llegar sí a una escala muy grande donde interviene ese concepto que vos decís, estar preparado hasta para qué decir delante de la prensa. No puedo salir a decir “tuve un ataque ransomware estamos paralizados”. Tiene que haber alguna forma, alguna previsión de qué comunicamos oficialmente del lado de la empresa.

 

-        A.C: Importante, tengo que haber previsto todo lo que son previo a la comunicación en prensa o por lo menos intentar que previo a que una noticia de estas características se filtre, haber realizado las comunicaciones obligatorias respectivas a las autoridades, al órgano de control, a los titulares de los datos que se puedan ver afectados. Todo eso implica, como decíamos, el conocimiento previo de cuál es el marco de acción establecido por la normativa. Yo organización debería estar lo mejor parada posible y con el mayor cumplimiento de los requisitos posible a la hora de que esto tome conocimiento público para dejar la menor cantidad de brechas que me puedan llegar a implicar algún tipo de responsabilidad, porque el impacto, podemos hablar de un impacto de un triple impacto básico. Ya lo decía anteriormente Rafa, hay un tema operativo, obviamente, un tema financiero o económico, un impacto financiero o económico también, pero también hay un tema reputación. Hay un impacto reputación que es muy grande y es muy difícil de prever en números, de estimar qué impacto puede tener. Pero también hay un cuarto impacto del que podríamos hablar, y es el tema de la responsabilidad. Cómo me va a afectar en mi responsabilidad en los posibles reclamos que tenga de los titulares de los datos o de las personas u organizaciones afectadas por este ataque.

 

-        E: Bueno, estamos llegando al final de este episodio. Nos quedan muchas cosas por conversar en el futuro sin dudas. No obstante, ustedes han llegado al momento en el cual no vamos a hablar de ciberseguridad, sino que tenemos lo que podemos llamar la pregunta sorpresa. Entonces, ustedes son dos y yo tengo dos preguntas. Voy a formular ambas y el que quiera primero responde, puede elegir una cada uno o si así lo desean ambos contestar la misma pregunta. ¿Ok? La primera opción es si pudieras cenar con alguien famoso, ya sea alguien que está en vida o fallecido, ¿quién sería? Y la segunda opción es si pudieras tener un superpoder, ¿cuál elegirías? ¿Quién contesta primero?

 

-        A.C: Podríamos titular este momento como qué momento. No sé, yo te puedo ir con la primera, pero es muy obvia y cualquiera que me conozca 10, 15 minutos, no más, ya lo sabe. Yo cenaría con Ricky Martin, sin duda.

 

-        E: Muy bien, muy bien, ya veo que la tenés clara.

 

-        A.C: No, sin duda, sin duda.

 

-        E: Me encantó Andrea. Ricky Martín, despegado. Rafael, ¿vas por la misma o podrías elegir un superpoder?

 

-        R.P: El tema del superpoder es que muchas veces son personas que vuelan. Yo no creo poder volar ni medio metro, o sea, vamos a empezar por ahí. Vamos a descartar por un raciocinio lógico. No voy a ser un superhéroe, prefiero responder la pregunta de con quién cenaría. Para mí, cenaría con León Gieco.

 

-        E: Muy interesante.

 

-        R.P: Es un cantante compositor que marcó mucho mi vida y, de alguna manera, tiene una parte muy humana expuesta y que la transmite continuamente en sus canciones.

 

-        E: Me encantó. Y vieron que los dos se decantaron por al lado de la música.

 

-        A.C: Es verdad, tenemos nuestro lado artístico ahí, se ve que medio oculto.

 

-        E: Está ahí a flor de piel, está pidiendo cancha. Bueno, Andrea, Rafael, muchísimas gracias por haber compartido todo el valor que han puesto sobre la mesa respecto al tema de ciberseguridad y por haber compartido también algún rasgo de su personalidad y de su día a día a través de estas respuestas. Un gusto conversar con ustedes en este nuevo episodio.

 

-        A.C: Un placer para nosotros, Alejandra.

 

-        R.P: Un placer y muchas gracias Alejandra y a toda la audiencia.

 

-        E: Bueno, hasta aquí llegamos con este nuevo episodio de los pódcast de PwC Uruguay que tienen como objetivo brindarte a vos que estás escuchando herramientas para aplicar en tu organización de la mano del equipo de PwC Uruguay, de sus especialistas en diferentes áreas. Así que si te parece, nos encontramos con otro tema interesante en la próxima.

 

Contactanos

Sofía Sunhary

Marketing, Brand & Communications, PwC Uruguay

Tel: (+598) 2916 0463

¡Seguinos!