Juan Pablo Arias, gerente de Ingeniería de Fortinet Chile.
Seguridad

CyberSession #4 ¿Cómo hacer más transversal la cultura de ciberseguridad hacia las distintas áreas de la organización? Entrevista con Juan Pablo Arias de Fortinet

En el cuarto episodio de las CyberSessions de ITSitio, el Gerente de Ingeniería para Fortinet Chile habló de cómo generar un cambio en la cultura de ciberseguridad de las empresas, a través de la experiencia.

Photo of Agustina Solinas Agustina Solinas Send an email 2 de septiembre de 2024
6 minutos de lectura

Las CyberSessions de ITSitio tienen como objetivo entregar información sobre ciberseguridad de la mano de especialistas en la materia en contexto de la entrada en vigencia en Chile de la nueva Ley Marco de Ciberseguridad e Infraestructura Crítica de la Información. En este episodio, Juan Pablo Arias, gerente de Ingeniería de Fortinet Chile, habla acerca de cómo generar capilaridad dentro de las organizaciones para que la cultura de ciberseguridad pueda permear más allá de los equipos TI.

En Chile, la Ley Marco de Ciberseguridad aún no entra en vigencia. Si bien fue promulgada y publicada, para que la normativa cobre vida resta que el Presidente de la República dicte decretos con fuerza de ley que tienen que ver con distintos aspectos cruciales para que la ley pueda funcionar. Sin embargo, las organizaciones ya se preparan para el desafío de la adecuación desde el punto técnico. Pero, ¿qué pasa con la matiz cultural? ¿Están las organizaciones preparadas? ¿Cómo hacer que la ciberseguridad sea un tema de conversación más allá del área TI?

Publicaciones relacionadas
Juan Pablo Arias, Gerente de Ingeniería de Fortinet para Chile.
Juan Pablo Arias, Gerente de Ingeniería de Fortinet para Chile.

En palabras de Juan Pablo Arias, “hoy día es muy relevante que toda la organización tenga conciencia de ciberseguridad”. El especialista conversó con ITSitio en el marco de un nuevo episodio de las CyberSessions. “La forma de llevar hacia otra área es que ellos vean desde su perspectiva también el problema, que lo puedan tangibilizar”, mencionó.

En Ciberseguridad, la experiencia es el mejor maestro

Según Arias, la experiencia es un punto importante a la hora de aprender sobre temas técnicos, pero también cuando se busca “capilarizar” la ciberseguridad hacia las distintas áreas. “Nosotros lo que hemos hecho, por ejemplo, es hacer reuniones donde simulamos algún incidente cibernético y planteamos problemáticas que se tienen que resolver desde otras perspectivas, por ejemplo: plan comunicacional, ¿qué hacemos cuando hay una crisis? ¿Qué le decimos a los colaboradores? ¿Qué le decimos a los clientes? ¿qué le decimos a los proveedores?”

Durante 2023, Chile sufrió 6 mil millones de intentos de ciberataques en forma de phishing, sitios web fraudulentos, smishing, entre otros. Estos datos se desprenden del último informe de Fortiguard Labs sobre la región. Imaginen qué importante es que las personas que conforman las organizaciones y la sociedad en su conjunto estén al tanto de este escenario. El conocer y saber cómo protegerse ante intentos de ciberataques ya no es algo que compete únicamente a los Gobiernos o las empresas, sino una construcción colectiva.

Fortinet tiene un Centro de Experiencias de Ciberseguridad en Chile.

El Centro de Experiencia es un “laboratorio” de ciberseguridad y el único de su tipo en Chile. Allí, clientes, usuarios, y potenciales partners de Fortinet pueden resolver dudas, aprender sobre diferentes facetas y probar en vivo las distintas tecnologías. “Si tengo muchos sistemas que son complejos de gestionar, eso es positivo para los ciberataques, entonces en el Centro de Experiencia nosotros justamente queremos mostrar eso,  que hay cosas que son simples, que hay cosas que son rápidas, que por ejemplo incorporar una nueva sucursal a una cadena, por ejemplo de un banco, de una tienda es algo que se puede hacer de manera simple y que además se puede hacer de manera segura”, precisó el gerente sobre las actividades que llevan a cabo en este laboratorio.

Tendencias en ciberseguridad para el 2025: menos intentos de ciberataques pero se eleva la sofisticación

De acuerdo con la cifra citada anteriormente, Chile sufrió 6 mil millones de intentos de ciberataques. Al respecto, Arias comentó: “La tendencia que nosotros observamos es que viene bajando respecto al último año”.

Aunque pueda parecer una buena noticia, en realidad esto debe ser motivo de preocupación para las organizaciones. La disminución podría estar vinculada -según el ejecutivo- a que los ciberatacantes están elevando su nivel de sofisticación, estudiando más a las empresas y enfocándose no tanto en lanzar una cantidad enorme de ataques, sino en lanzar menos, pero precisos y potentes.

“Si antiguamente los ciberatacantes buscaban varios objetivos y les disparaban a la vez y veían cuales caían y cuáles no, hoy estudian muy bien una organización antes de generar un ataque”, sostuvo Arias. “Finalmente, un intento de ataque es alertar a una organización. Entonces los atacantes están tratando de minimizarlos para no perder esa sorpresa de cuando ocurre un ataque”, agregó.

El ingeniero puntualizó que, además, los grupos están alcanzando niveles de especialización tan altos que estudian cada industria exhaustivamente, con el objetivo de tener “una mayor probabilidad de éxito”.

La Inteligencia Artificial como nueva ciber “arma”

No resulta novedoso que hoy las herramientas de Inteligencia Artificial (IA) son utilizadas para una inmensidad de cosas extraordinarias como la innovación, generando aportes positivos local y globalmente. Pero de esta misma forma, los grupos que buscan nuevas técnicas para generar ofensivas virtuales, también cuentan con esas y otras tecnologías de IA. Qué dilema. 

“Las empresas están explorando la Inteligencia Artificial, entonces eso abre nuevas brechas”, detalló el gerente. “Una de las cosas que está ocurriendo, por ejemplo, es que los atacantes hacen envenenamiento de las bases de datos que se utilizan para entrenar a los modelos de Inteligencia Artificial, entonces ese modelo que han mal entrenado hacen cosas que obviamente la empresa no quiere que haga, este tipo de cosas son nuevas”, contó sobre uno de los nuevos tipos de incidentes de ciberseguridad con los que las organizaciones se encuentran.

Centro de Experiencias de Fortinet.

“Los atacantes quieren ser lo más sigilosos posibles y quieren en el fondo lograr su objetivo que puede ser generar disrupción, generar robo de información, de propiedad intelectual o generar un secuestro de información para pedir un rescate y la forma es estar dentro de la organización mucho tiempo para estudiarla de la mejor forma posible”.

Ante un ataque de ransomware, ¿pagar o no pagar por el rescate de datos?

Aunque aún es un tema que genera discrepancias en algunos sectores, hay cierto acuerdo en que no hay que pagar cuando una organización es extorsionada económicamente por ciberatacantes para liberar información secuestrada.

En palabras de Arias, el hecho de pagar a estos grupos hace “que se siga financiando el cibercrimen”. Además, el entregar dinero, genera que quienes cometen estos actos puedan continuar contratando mejores talentos y adquiriendo herramientas más complejas.

Aunque este sea el consejo general, hay organizaciones que hoy se ven obligadas a pagar “porque no tenían respaldo, porque su modelo de negocio se basa en esos datos y finalmente, si no recuperan la información la afectación es tan grande que incluso los podría llevar a la quiebra”, mencionó el gerente de Fortinet.

Transformación del ecosistema TI en Chile bajo el nuevo marco legal.

Adelantándose a la Ley Marco de Ciberseguridad: ¿cómo están las empresas de Chile?

Consultado por las inquietudes frecuentes de las organizaciones respecto a la adecuación a la Ley Marco de Ciberseguridad, Arias brindó un panorama de lo que -desde Fortinet- pueden observar.

“Hemos tenido la oportunidad de conversar en profundidad con los clientes sobre esta problemática porque obviamente es una preocupación para todos”, sostuvo. Según destacó, hay industrias que están muy avanzadas en la implementación de tecnología incluyendo robustos sistemas de ciberseguridad, como por ejemplo, banca.

“La Comisión para el Mercado Financiero (CMF) ejerce una regulación súper estricta sobre sobre la banca, entonces hoy día quizás ese sector tampoco está tan preocupado por la nueva ley porque de alguna manera ya tenía muy buenas prácticas, incorporan mucha tecnología, tienen procesos y hay mucha conciencia en ese sector”, comentó el especialista.

Chile actualiza su ley de protección de datos personales.

Arias dijo que hay otras industrias que también van en avance debido a que tienen operaciones en regiones cuya regulación las obliga a cumplir con ciertos estándares. “Otros países donde la regulación es más fuerte, como por ejemplo, en Europa que de alguna manera se han tenido que adecuar para poder tener presencia en estos mercados”, apuntó.

Pero hay un tercer grupo mencionado por Arias, el cual debe prestar especial atención a cómo está gestionando su ciberseguridad. El ingeniero se refirió a organizaciones chilenas que no están bajo ninguna regulación especial como es el caso de banca ni tampoco mantienen operaciones con países que los obliguen a establecer estos estándares de trabajo. “Ese es quizás el grupo de organizaciones que están más preocupadas, pero lo interesante es que están haciendo cosas, se están tomando las medidas y entonces uno de los puntos justamente es incorporar tecnologías que permitan la detección, por ejemplo, que permitan responder, que permitan en el fondo tomar acciones”, agregó.

Por último, Arias puso de relevancia la Ley de Protección de Datos Personales, recientemente aprobada en Chile y en espera de su promulgación y publicación. “También aquí se abren oportunidades para poder hacer cosas, la Ley de Protección de Datos, por un lado restringe algunas cosas, pero por ejemplo, define nuevas bases de licitud que permiten ampliar el uso de mejor forma para poder trabajar estas tecnologías de vanguardia que utilizan mucho los datos como insumo”, concluyó.

Autor

  • Agustina Solinas

    Periodista especializada en tecnología. Magister (c) en Ciencia, Tecnología y Sociedad. Mis áreas de interés están vinculadas a informar acerca del desarrollo tecnológico, innovación y cómo la tecnología puede hacer la diferencia. En IG @agustinasolinas

    Ver todas las entradas

Etiquetas
Photo of Agustina Solinas Agustina Solinas Send an email 2 de septiembre de 2024
6 minutos de lectura
[mdx-adserve-bstreet region="MED"]
Photo of Agustina Solinas

Agustina Solinas

Periodista especializada en tecnología. Magister (c) en Ciencia, Tecnología y Sociedad. Mis áreas de interés están vinculadas a informar acerca del desarrollo tecnológico, innovación y cómo la tecnología puede hacer la diferencia. En IG @agustinasolinas

Publicaciones relacionadas

Cibercriminales roban millones en criptoactivos con técnicas avanzadas.

El ladrón de criptoactivos Inferno Drainer ha robado 9 millones de dólares de 30.000 monederos virtuales en los últimos seis meses

La biometría facial y dactilar se posiciona como la principal herramienta para prevenir el fraude en procesos críticos del sector telecomunicaciones.

A tres meses de la Resolución 566: ¿Estamos listos para una nueva era en la protección de la identidad digital?

Aunque el ecosistema de Apple es uno de los más seguros, los usuarios de iPhone no están exentos de amenazas como el phishing, el malware o las redes Wi-Fi inseguras.

¿Qué tan seguro puede ser un iPhone?

El ransomware evoluciona: de ataques rudimentarios a operaciones criminales impulsadas por inteligencia artificial, 2025 marca un punto de inflexión en la ciberseguridad global.

Ransomware Reloaded: Por qué 2025 es el año más peligroso hasta la fecha

[mdx-adserve-bstreet region="BOTTOM"]
Botón volver arriba