Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
ENTREVISTA

Ramsés Gallego, Embajador de ISACA Barcelona

“Atacar a una sociedad es perfectamente posible a través de sus empresas”

17/04/2019 - Por Enrique González
Ramsés Gallego es ponente habitual en conferencias de todo el mundo. Es un comunicador nato, capaz de hacer llegar esos mensajes necesarios para que las organizaciones vean la necesidad de apostar por la ciberseguridad. En el caso del II Congreso de Auditoría y GRC organizado por ISACA Madrid, este profesional abordó la desinformación y los riesgos asociados a la reputación empresarial como un nuevo foco de interés al que ni las empresas ni el Estado pueden dar la espalda.

La reputación de las empresas siempre ha estado ligada a áreas corporativas como la comunicación, el marketing, las relaciones públicas, etc. No obstante, dado que muchas de las crisis de este tipo vienen a través de la Red y se asumen como un riesgo para las compañías, ¿cree que debería abordarse este tema desde otros departamentos como el de seguridad de la información?

La gestión de la reputación está evolucionando de manera positiva porque las compañías se dan cuenta de que esto tiene un impacto inequívoco en cosas tan instrumentales como la manera en que se las percibe, el valor de sus acciones en bolsa o el daño que les puede causar una campaña de desinformación. Todo eso tiene un impacto y es uno de los múltiples riesgos que las organizaciones deben considerar.

Hoy en día nadie se plantea no tratar los riesgos laborales, el impacto medioambiental, el riesgo de fraude, etc., y sucede lo mismo con el riesgo reputacional. Por tanto, creo que hay una evolución respecto a la comprensión de ese problema.

¿Cuáles son las calves para una buena gestión de la reputación en las organizaciones?

Como en todo, hace falta preparación y prevención. Se puede hablar de tres tipos de controles en las  organizaciones. Uno de ellos es la detección, que implica que la situación ha ocurrido y estamos apagando el fuego; sin embargo, creo que la pregunta iría orientada a los otros dos controles: por un lado, el preventivo, que se centra en la preparación, identificación, etc.; y por otro, el correctivo, es decir, ser capaz de resolver lo que ha sucedido.

Hay que resolver los incidentes relacionados con la reputación en el momento adecuado. Si tratas de solucionarlos pasado un mes, el daño ya está hecho, y más en este momento en el que las redes sociales son cámaras de eco.

Por tanto, las claves serían prevención, riesgos, identificación… y tener un programa, una estrategia y una táctica alrededor de todo ello.

Parece que cada vez más se producen acciones de desinformación por parte de unos Estados contra otros, pero pasan más desapercibidos los ataques de este tipo contra empresas. ¿Por qué deben preocuparse también las organizaciones privadas por acciones como las fake news?

Si a un Estado le interesa el desgobierno, el ruido, una Europa débil, la inmigración, etc., ¿por qué no va a suceder lo mismo, por ejemplo, con una infraestructura crítica? Aunque no se trata de un ataque directo al Estado, si lo es contra las raíces sobre las que está sustentado el país, como son el control del tráfico aéreo, la distribución de agua… Es decir, ¿por qué no deberían preocuparse las empresas de que un Estado quiera provocar una disrupción a través de las bases sobre las que está creada la sociedad?

A veces se trata de una cuestión política y de generar ruido, pero también pueden producirse ataques a través de una compañía con el objetivo de atacar un país. Es decir, atacar a una sociedad es perfectamente posible a través de sus empresas. Si yo fuera el CISO de una compañía, tendría a personas encargándose de esto, además de las otras mil cosas más que tienen que hacer.

¿Cuáles cree que serán los principales retos que tendrán en los próximos años las empresas en materia de gestión de riesgos?

Lamentablemente, el cibercrimen es crimen. Me explico, en los años ochenta, se atacaba a una empresa para demostrar capacidad técnica; sin embargo, ahora la cosa va de dinero. Actualmente vemos cosas como el criptojacking, que consiste básicamente en utilizar tus recursos empresariales para obtener un beneficio, que en este caso es hacer criptomonedas. Aún seguiremos viendo esto, aunque está en declive.

La razón de que el criptojacking vaya a menos es que los malos han encontrado otro terreno de juego que se llama formjacking, que está envenenando alrededor de una media de 4.800 webs de comercio al mes. Consiste en que, cuando compras algo en Internet, tienes que poner el número de la tarjeta de crédito con el nombre, fecha, código CCV, etc., y los criminales captan toda esa información para después robarte el dinero.

En tercer lugar, recordando lo que lamentablemente sufrimos muchos países con WannaCry aquel fatídico 12 de mayo de 2017, vamos a ver el secuestro de organizaciones enteras. Es decir, no ordenador por ordenador, sino una empresa cualquiera a la que detienen todo el proceso porque han accedido a su red descifrando toda tu cadena de suministro; y si no les das un millón de euros, por poner un ejemplo, no la recuperas. Esa es la evolución trágica del ransomware.

Esas tres cosas las vamos a ver en los próximos años, además de otras muchas relacionadas con riesgos operacionales, ataques en la nube, etc. Pero me quedo con los tres que he desarrollado, que tienen una cosa en común: el dinero.

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual