Si bien la legislación uruguaya fue actualizada y se incorporaron nuevas obligaciones para la protección de los datos personales de los uruguayos por parte de las empresas, cada año son más las empresas que sufren eventos e incidentes con impacto importante para su operativa y los clientes. Entre ellas, nada menos que el Banco de la República Oriental del Uruguay (BROU) ha experimentado varios problemas de seguridad informática en los últimos años.
El reporte anual “Estado de la Ciberseguridad en el Sector Bancario en América Latina y el Caribe”, publicado el año pasado por la Organización de los Estados Americanos (OEA), reveló que “9 de cada 10 bancos de América Latina y el Caribe sufrieron incidentes cibernéticos el último año”.
Según el informe, el 39% de los incidentes no se reportan y el 37% de los bancos de la región sufrieron ataques que resultaron efectivos.
El estudio también indicó que 6 de cada 10 usuarios que no utilizan servicios de banca digital lo hace por desconfianza sobre la seguridad en las transacciones.
Informe sobre ciberseguridad en las empresas uruguayas
Datasec, en conjunto con Grupo Radar, realizan desde 2016 un informe anual con respecto al problema de la ciberseguridad en nuestro país. El último informe publicado en 2019 estuvo específicamente enfocado a cómo las empresas uruguayas están gestionando los riesgos existentes en materia de ciberseguridad. El objetivo del informe, según Datasec, es “aportar información sobre el escenario de las empresas y al mismo tiempo estimular a que estas implementen las más mínimas prácticas necesarias para garantizar su ciberseguridad, así como la de sus clientes destacando la privacidad y protección de sus datos personales”.
Para el informe consultaron a 600 empresas de distinto tamaño. El mismo evidenció diferentes escenarios entre las grandes y medianas empresas respecto de las pequeñas, en cuanto a los recursos volcados y la conciencia de los riesgos.
Pregunta a las empresas: ¿Qué tan preparada se encuentra ante incidentes de ciberseguridad (virus, hackeos o robos de información)?
Ante esta pregunta, el 39% de los representantes empresariales consultados contestó “Nada”, 27% “Parcialmente” y solo 22% mencionó “Completamente”.
Entre las empresas grandes y medianas, el 43% dijo que se encuentran parcialmente preparados, mientras que el 40% de las pequeñas y microempresas mencionaron que no están nada preparados para este tipo de incidentes.
En cuanto a los rubros de las empresas encuestadas, el rubro Comercio mostró mayores niveles de vulnerabilidad informática con respecto a Industria y los Servicios.
Territorialmente, las empresas radicadas en el área metropolitana están más preparadas en seguridad cibernética que las ubicadas en el interior del país.
Sobre el tipo de controles de seguridad que han implementado las empresas uruguayas, solo el 22% cuentan con una política de ciberseguridad y apenas el 29% designaron a un profesional responsable en la materia. En este índice la brecha es amplia entre las grandes y medianas empresas y las más pequeñas.
En lo relativo a la protección de datos, el 57% respalda su información en un sitio externo y únicamente el 20% encripta sus equipos portables de computación.
Los principales problemas de seguridad que tuvieron las empresas durante el último año fueron, en primer lugar, fallas técnicas 31%, phishing 20% y virus 14%. En menor medida, robo de equipos 5%; y hackeo y ransomeware 3% c/u.
El 77% mencionó que no creen que sea necesario someterse a algún tipo de evaluación del estado de su empresa sobre riesgos de ataques cibernéticos. El 84% del sector de la industria no cree necesario este tipo de estudios preventivos.
Poca conciencia empresarial
En sus conclusiones sobre las respuestas de las empresas sobre ciberseguridad, Datasec considera que, “a pesar de que los ciberincidentes, son uno del riesgos operativos más importantes para las organizaciones a nivel mundial, las empresas uruguayas aún no toman conciencia de la relevancia de custodiar su continuidad invirtiendo adecuadamente en la materia”.
Se ha identificado que una de las razones por esta falta de conciencia por parte del empresariado uruguayo es la “falsa sensación de seguridad”, que radica en la baja visibilidad que muchos incidentes han tenido durante años en nuestra sociedad. “Un 80% de las empresas considera que no han tenido incidentes, cuando la realidad claramente indica que los números deberían ser significativamente mayores”.
Datasec menciona en su análisis que “difícilmente se identifiquen los eventos o incidentes de ciberseguridad como tales cuando un 70% de las empresas no han designado un responsable, ni han definidos políticas vinculadas, y más de la mitad no capacita a sus colaboradores sobre la importancia de controles básicos”.
¿Qué propone la coalición multicolor en materia de ciberseguridad?
En los programas de dos de los principales socios políticos del futuro gobierno existen varias coincidencias sobre políticas de seguridad cibernética.
En “Lo que nos une”, programa del Partido Nacional (PN), se indica que “existen vulnerabilidades en materia de defensa militar ante algunas amenazas potenciales” y entre ellas se incluye posibles ciberataques. Por lo que el país “debe contar con planes de contingencia ante estos riesgos, así como con los recursos humanos y materiales para cumplirlos”.
Cabildo Abierto (CA), en su documento programático, propone “desarrollar una Dirección de Ciberseguridad, adquiriendo todas y mayores capacidades de protección y combate al ciberdelito, generando inteligencia oportuna y operacional”. Para ese propósito se adecuará la Dirección Nacional de Policía Científica con “tecnología de última generación y especialización de su personal”.
Una de las acciones que propone el PN, para el desarrollo de tareas de inteligencia y ciber-seguridad, es “coordinar la actuación policial con otras instituciones del Estado con responsabilidades en la prevención y represión de actividades delictivas”. Entre ellas se prevé “establecer una estrecha cooperación entre el Ministerio del Interior y el Ministerio de Defensa Nacional”.
En materia de defensa, CA propone “activar en forma permanente la Comisión Interministerial de Defensa Nacional, la que realizará y mantendrá al día una Apreciación de Situación Estratégica del país”. CA también proyecta la creación del “Centro Nacional para la Protección de Infraestructuras Críticas”. En el mismo, se desarrollarían “mecanismos de anticipación y apresto mediante inteligencia exterior, alerta aérea y marítima temprana, seguridad cibernética con atención a las redes sociales, aumento del nivel de apresto de las FF.AA., etc.”.
Sobre el desarrollo de las Tecnologías de Información y Comunicación (TICS), CA entiende pertinente “generar una gran infraestructura nacional de ciberseguridad que brinde a todas las partes interesadas la seguridad y confianza que permitan un crecimiento de la industria con bajos niveles de riesgos”.
Por su parte el PN pretende “fortalecer el rol del Centro Nacional de Respuesta a Incidentes de Seguridad (CERTuy), para que pueda asumir funciones de asesoramiento formal al sector académico y privado.
Trabajaremos en conjunto con todos los actores públicos y privados para que Uruguay sea un referente en materia de ciberseguridad, prolongando y profundizando las experiencias ya realizadas en materia de capacitación”.
¿Dónde hay que denunciar un incidente informático?
Centro Nacional de Respuesta a Incidentes de Seguridad Informática del Uruguay (CERTuy)
Vías para reportar un incidente:
Formulario Web: https://www.gub.uy/centro-nacional-respuesta-incidentes-seguridad-informatica/comunicacion/publicaciones/como-reportar-un-incidente Correo Electrónico: [email protected] proporcionando, al menos, los siguientes datos: nombre, vía de contacto, organización y problema.
Teléfono: (+598) 2 901 2929 Extensión 8567 en caso de urgencias.
La Agencia de Gobierno Electrónico y Sociedad de la Información y el Conocimiento (AGESIC), que promueve el buen uso de las tecnologías de la información y de las comunicaciones creó CERTuy con el objetivo de articular, gestionar la seguridad y la confianza digital. CERTuy protege los activos de información críticos del Estado y promueve el conocimiento en seguridad de la información de manera de prevenir y responder a incidentes de seguridad.
El CERTuy está conformado por un grupo de expertos responsables del desarrollo de medidas preventivas y reactivas ante incidencias de seguridad en los sistemas de información. Sus principales objetivos son: centralizar, coordinar y optimizar los procesos de respuesta a incidentes en seguridad de la información; difundir mejores prácticas en seguridad de la información y realizar tareas preventivas.
Un Incidente de Seguridad de la Información es la violación o amenaza inminente a la Política de Seguridad de la Información implícita o explícita. Según la norma ISO 27035, un Incidente de Seguridad de la Información es un único evento -o una serie- de seguridad de la información indeseado o inesperado, que tiene una probabilidad significativa de comprometer las operaciones de negocio y de amenazar la seguridad de la información.
Por lo tanto, para el CERTuy un incidente de seguridad de la información se define como un acceso, intento de acceso, uso, divulgación, modificación o destrucción no autorizada de información; un impedimento en la operación normal de las redes, sistemas o recursos informáticos; o una violación a la Política de Seguridad de la Información del organismo.
En octubre Certuy recibió un préstamo del Banco Interamericano de Desarrollo (BID) por 8 millones de dólares (más 2 millones de capital local), que apoyará el fortalecimiento de la capacidad de Uruguay para proteger su espacio digital con la mejora de la prevención, detección y respuesta a los ataques cibernéticos.
