Autor: Douglas Chemaly
La ciberseguridad se ha convertido en un tema de alta prioridad para todas las organizaciones, ya sean empresas públicas cotizantes, empresas privadas, e incluso agencias gubernamentales federales y locales.
Los cibercriminales cada día encuentran más vías para irrumpir ilegalmente en sistemas de redes computacionales mediante envíos masivos de comunicaciones del tipo “phishing”, “spear phishing”, “smishing”, etc., todas estas modalidades bajo el concepto de “social engineering”. Así mismo, emails enviados por estos criminales con el denominado “malware” se han convertido ya en parte del quehacer cotidiano de estos individuos. El malware viene en muchas formas, siendo los virus, worms, trojans, ransomware, spyware y keyloggers quizás las más comunes y frecuentes formas de ataque.
Cada uno de estos productos malignos, instalados exitosamente por el cibercriminal en el computador destino, tiene como consecuencias desde la propagación de un virus altamente infectante como la obstrucción del sistema operativo de la red, e inclusive la destrucción de bases de datos y aplicaciones. Una de las peores consecuencias de estos ataques maliciosos es la obtención ilegal de información catalogada como PII (Personally Identifiable Information), tal como el número de seguro social, nombre completo de la víctima (o víctimas), número de tarjeta de crédito/débito, etc.
El ransomware se ha convertido también últimamente en un tipo de ataque preferido por los ciberhampones. Este tipo de ataque es considerado como programa troyano malicioso, el cual congela y secuestra el sistema víctima hasta tanto se pague un “rescate”. Por lo general estos pagos al “cibersecuestrador” se realizan en algún tipo de moneda electrónica, mayormente el bitcoin. El más común de este tipo de ataque ha sido el denominado “WannaCry”.
El keylogger es un malware que se instala en el sistema operativo del computador víctima y almacena cada tecleado del usuario. Este ciberflagelo se ha convertido en la herramienta más común para atrapar los passwords de usuarios para el acceso a cualquier sistema, incluyendo cuentas bancarias en línea.
Los casos mencionados son simplemente ejemplos de los tipos de ciberataques que pueden ser perpetrados contra individuos y organizaciones completas.
La postura de ciberseguridad que se defina e implante en la organización debe ser lo suficientemente robusta como para minimizar las consecuencias que este tipo de ataques pueda tener, no solo sobre los sistemas de redes computacionales, sino también sobre el negocio, sus operaciones y sus finanzas.
Dos tipos de esquemas (frameworks) han cobrado una gran popularidad a nivel internacional para el diseño e implantación de los controles requeridos para poder prevenir y responder ante posibles ciberataques. Me refiero a COBIT (Control Objectives for Information and Related Technology), el cual yo enseño en la Universidad de Houston a estudiantes de maestría financiera, así como el NIST (National Institute of Standards and Technology) Cybersecurity Framework, desarrollado por el Department of Commerce de los Estados Unidos, y el cual se ha convertido en el escudo de seguridad de la mayoría de las agencias federales y locales del país.
Independientemente del esquema de protección seguido y utilizado, se debe en todo momento monitorear la eficiencia de los controles implementados de manera de poder responder a tiempo y eficientemente ante cualquier ciberataque. De esta manera se reducirían las incidencias negativas sobre la operatividad y finanzas de la empresa.
El Ingeniero Douglas Chemaly es Asesor de Negocios con sólida experiencia como consultor para compañías públicas cotizantes en los mercados de valores, empresas privadas de las Américas, naciones caribeñas y Europa, así como para el sector gobierno de los Estados Unidos. Las industrias específicas incluyen: energía y gas, aeroespacial, servicios, manufactura, banca y finanzas, gobierno local, estatal y federal. Áreas específicas incluye: auditoría de sistemas, seguridad de información, ciberseguridad, planeación estratégica, asesoría financiera, Sarbanes-Oxley, Governance, Risk and Compliance (GRC), Asesoría de riesgos de negocios y de sistemas (PeopleSo3, Oracle eBS, SAP, Hyperion, etc.).
Douglas Chemaly es Profesor invitado de la University of Houston en Texas por más de 10 años y ha sido conferencista a nivel internacional. Ha sido miembro de juntas directivas tales como la Cámara Venezolana de Comercio Electrónico, Houston Grand Opera Guild, Houston Latin American Philharmonic Orchestra y LIFE Houston. Es políglota y devoto a la ópera. Orgulloso padre de tres talentosos hijos.
Artículo aprobado 24 de junio del 2020 por:
Comité de publicaciones
Dpto. de Documentación
División de investigación y desarrollo