En esta charla, los expertos explicaron cómo gestionar riesgos, cumplir con las normativas legales y formar profesionales capacitados para enfrentar los desafíos del futuro digital.
Importancia de la ciberseguridad
En el contexto actual, las empresas deben tener una postura sólida respecto a la ciberseguridad debido a la creciente complejidad y frecuencia de ataques cibernéticos.
La ciberseguridad ya no es opcional, es crucial para la continuidad del negocio. Ambrosoni resaltó que “una empresa promedio enfrenta entre 400 y 500 ataques automáticos cada mes, además de entre 30 y 50 ataques dirigidos específicamente a vulnerar sus sistemas. Estos números subrayan la gravedad de la situación actual, donde no tomar en serio la ciberseguridad puede poner en riesgo la continuidad del negocio. Los ciberataques ya no son esporádicos; son constantes y dirigidos, lo que obliga a las organizaciones a implementar políticas de seguridad robustas para evitar pérdidas financieras y de reputación irreparables."
Escasez de profesionales
Durante la conferencia, Roberto Ambrosoni y Ethel Kornecki enfatizaron la escasez de profesionales capacitados en ciberseguridad, tanto a nivel local como global. Señalaron que esta falta de expertos no es exclusiva de Uruguay, sino que es un problema que afecta a todo el mundo. Las organizaciones no solo requieren profesionales que puedan identificar y mitigar riesgos, sino también que estén capacitados para gestionar la ciberseguridad de manera integral, participando en decisiones estratégicas de la empresa.
Ambrosoni mencionó que “las organizaciones están desesperadas por contratar profesionales con formación adecuada, ya que el conocimiento en ciberseguridad se ha vuelto esencial para proteger los negocios de amenazas cibernéticas constantes”.
En tanto Kornecki añadió “que la formación es clave para que los futuros especialistas puedan enfrentarse a incidentes complejos y que el mercado laboral está abierto a quienes decidan especializarse en este campo, con grandes oportunidades tanto a nivel local como internacional”.
Además, ambos coincidieron en que la formación debe ir más allá de la mera concientización, enfocándose en educar a los profesionales para que puedan asumir roles clave en la gobernanza de la seguridad de la información dentro de sus organizaciones.
Para desarrollar una postura sólida, las organizaciones deben comenzar con un análisis de riesgos, evaluando la madurez de su infraestructura de ciberseguridad y determinando los activos críticos que necesitan proteger.
En la conferencia, se mencionó que la evaluación de riesgos es un paso fundamental para establecer una postura sólida en ciberseguridad. Se destacó que las organizaciones deben comenzar con un análisis de brechas o gap analysis para determinar su posición actual en cuanto a ciberseguridad. Esta evaluación ayuda a identificar los activos críticos que necesitan protección y a establecer un marco de referencia, como los estándares National Institute of Standards and Technology (NIST) o los utilizados por el gobierno uruguayo. A partir de ahí, se debe analizar el grado de madurez de la organización en términos de protección, ya sea si tiene medidas parciales, sólidas o si está en proceso de adaptación.
Además, se mencionó que este proceso de evaluación debe ir acompañado de políticas claras, documentación, y herramientas de gestión que permitan monitorear y prevenir incidentes. De esta manera, se pueden implementar controles adecuados y procesos de mejora continua para mitigar riesgos y asegurar la continuidad del negocio.
Documentación y políticas
Crear políticas de seguridad es esencial, pero estas deben tener el compromiso de la alta gerencia y no ser solo documentos sin implementación. Las políticas deben reflejarse en la práctica y formar parte integral de los procesos de negocio.
Impacto de la ciberseguridad en el negocio
Las organizaciones que no tomen en serio la ciberseguridad corren el riesgo de sufrir grandes pérdidas financieras o, incluso, desaparecer. Los incidentes de seguridad pueden afectar la reputación y generar multas significativas, especialmente en entornos regulados como la Unión Europea con el General Data Protection Regulation (GDPR).
Capacitación especializada
En la conferencia, se habló ampliamente sobre el Diploma de Especialización en Ciberseguridad que dicta la Universidad ORT Uruguay. Ethel Kornecki explicó que este programa está diseñado para formar profesionales que “puedan identificar, evaluar y mitigar riesgos de ciberseguridad en un entorno cada vez más desafiante”. El diploma ofrece una visión integral de la ciberseguridad, cubriendo aspectos técnicos, organizacionales, legales y éticos.
Entre las materias destacadas, se incluyen:
- Gobernanza y gestión de la seguridad de la información: Cómo establecer políticas sólidas y participar en la toma de decisiones estratégicas de la empresa.
- Criptografía: Buenas prácticas y algoritmos para proteger la información.
- Seguridad en infraestructuras y TICs: Cómo reforzar la arquitectura tecnológica de una organización.
- Seguridad en el desarrollo de aplicaciones: Aplicar principios de seguridad desde las primeras etapas de desarrollo.
- Gestión de incidentes: Operaciones de seguridad, monitoreo y respuesta a ataques a través de herramientas como CERT y SOC.
Además, se subrayó que el diploma busca preparar a los profesionales para desempeñarse en roles clave, como el de CISO (Chief Information Security Officer), permitiéndoles interactuar de igual a igual con otros directivos de la organización.