Christiam Garrat Deloitte

Christiam Garrat: Empresas necesitan una estrategia sólida y realista de ciberseguridad

Compártelo en redes sociales

Share on facebook
Share on linkedin
Share on twitter

Christiam Garratt, Socio de Risk Advisory de Deloitte que participará como expositor en el TICAR 2022, organizada por la SNMPE, echa luces en esta entrevista con eBIZ Noticias sobre la necesidad de diseñar una estrategia de ciberseguridad, e invoca a las empresas del sector minero-energético a protegerse atendiendo a su nivel de digitalización.

Este año ha sido particularmente escandaloso en términos de seguridad informática en el país, sobre todo en el ámbito público, con filtraciones de datos preocupantes. ¿Cuál es su mirada a lo que ha venido ocurriendo? ¿Por qué hemos tenido tantos incidentes? ¿Qué debería pasar para evitar repetir estos problemas? 

Efectivamente, el nivel de exposición a incidentes de ciberseguridad ha aumentado de manera dramática en los últimes meses. Definitivamente, el contexto de pandemia ha desnudado muchas deficiencias a nivel de las capacidades de ciberseguridad de muchas empresas tanto en el ámbito privado como público. La adopción masiva de nuevas tecnologías para trabajo remoto y servicios cloud ha generado una ampliación de la superficie de ataque a proteger por parte de las empresas, y muchas veces las capacidades internas del negocio para proteger toda esa infraestructura no es suficiente. Para evitar que estas situaciones se repitan, es importante que las empresas tengan claridad sobre su nivel de madurez actual en ciberseguridad y contar con una estrategia sólida y realista que les permita desarrollar las capacidades requeridas para contar con una mejor visibilidad y protección de sus activos críticos de negocio.

¿Cómo debe ser la política de ciberseguridad del país y de las empresas peruanas? 

A nivel de país se debe tener claridad sobre la infraestructura crítica nacional que debe ser protegida y contar con todos los actores y sectores involucrados dentro de esta estrategia nacional. Si bien esta iniciativa ya existe a nivel local impulsada por distintos gremios y asociaciones gubernamentales, muchas veces existen factores políticos y económicos que dificultan su implementación.

¿Cómo perciben y cuidan la seguridad informática las empresas mineras, energéticas y de hidrocarburos? ¿Qué prácticas ya tienen interiorizadas y aplicadas? ¿Qué les falta? 

El sector todavía tiene un camino importante por recorrer en temas relacionados con ciberseguridad. La relevancia del entorno industrial y la infraestructura OT / IoT genera una complejidad aún mayor para los responsables de ciberseguridad de estas empresas, ya que requieren una estrategia de ciberseguridad que contemple el entorno empresarial y el entorno industrial, así como gestionar la convergencia IT/OT que debe existir en vuestro sector. Para lograr este objetivo es vital tener el apoyo de la Alta Dirección como sponsor de estas iniciativas y que tenga viabilidad a nivel de las diversas unidades de negocio dentro de la organización.

¿Qué tanta relevancia tiene aplicar auditorias de seguridad en este sector? En banca es habitual contratar hacking ético, ¿en minería también hay quienes recurren a ello? ¿deberían? 

Las auditorías son importantes para tener un tercero independiente que pueda evaluar con una visión diferente, y basada en buenas prácticas de industria, la gestión de ciberseguridad que estamos realizando y poder de esta manera identificar vulnerabilidades y oportunidades de mejora que muchas veces, al estar dentro de la operación, no tenemos capacidad de identificar. Nuestra recomendación es que siempre se tenga un externo que pueda realizar evaluaciones periódicas de ciberseguridad, no solo a través de servicios de Ethical Hacking o Vulnerabilidades, sino que pueda evaluar toda nuestra gestión y tomar lecciones aprendidas.

¿Cuál debería ser el plan de acción y el decálogo por aplicar en el sector? 

Como mencionaba anteriormente, es importante que las empresas del sector tengan claridad sobre la superficie IT/OT que deben proteger y desarrollar capacidades de protección, detección y respuesta para su aseguramiento. Para poder determinar el nivel de inversión y control que se debe implementar se debe hacer una evaluación de las capacidades actuales y futuras deseadas tratando de encontrar ese balance entre costo/beneficio y valor para el negocio. Las alternativas de servicios y tecnologías disponibles en el mercado son amplias, sin embargo, la clave es encontrar aquellas que coincidan con nuestra visión, estrategia y cumpla las expectativas trazadas por el negocio.

Fuente: EBIZ Noticias

en_USEnglish