Cada vez son más las casas de estudios que desarrollan programas o carreras en ciberseguridad. Y es que, estos profesionales ya no solo se requieren en las áreas de sistemas o tecnologías de la información. Su trabajo ahora es clave en procesos de auditorías ya que pueden identificar y evaluar las vulnerabilidades en los sistemas, asimismo, aseguran que la organización cumpla con regulaciones y estándares de seguridad, realizan análisis forense, entre otros. ¿Qué tendencias se esperan para el 2025?
Thalía Martínez, gerente de Advisory en KPMG en Perú, comentó a Gestión que las capacidades y/o tendencias de ciberseguridad de hoy en día están siendo desafiadas de formas sin precedente, “a medida que las amenazas de ciberseguridad se disparan y evolucionan en su potencial para impactar a los negocios”.
En esa línea, dijo que una tendencia clave es la adopción de tecnologías de inteligencia artificial (IA) y machine learning para identificar patrones anómalos y detectar posibles riesgos cibernéticos antes de que se materialicen.
“Estamos ayudando a las organizaciones a aprovechar el poder de la tecnología para transformar su función de negocio de ciberseguridad; reimaginando modelos operativos, manteniéndose por delante de las amenazas, respondiendo a incidentes y gestionando estratégicamente los riesgos de ciberseguridad”, sostuvo.
Prácticas de ciberseguridad en la gestión de riesgos empresariales
La integración de prácticas de ciberseguridad en la gestión de riesgos empresariales requiere un enfoque holístico, resaltó Martínez. En ese sentido, agregó que las organizaciones deben considerar la ciberseguridad como una parte integral de su estrategia de riesgos, y no solo como una función aislada de TI.
Los especialistas también sugieren desarrollar marcos de ciberseguridad alineados con su gestión de riesgos, identificando las amenazas cibernéticas que podrían impactar sus operaciones y reputación.
“Esto implica la creación de políticas y controles de ciberseguridad que se integren directamente con los planes de continuidad de negocio, así como la implementación de simulacros de respuesta ante incidentes para preparar a la organización frente a potenciales ataques”, subraya.
No obstante, ello va de la mano con la formación de una cultura organizacional de conciencia cibernética para mitigar riesgos y asegurar que todos los colaboradores comprendan su papel en la protección de la empresa.
Abel Revoredo Palacios, explicó que hay dos tipos de información: la empresarial [del negocio] y la de los clientes, trabajadores y proveedores. “Estos dos mundos requieren acción muy cuidadosa, porque cada uno de estos tiene sus propias regulaciones”.
Por el lado de la información empresarial, dijo el socio fundador de Revoredo Abogados, hay que verificar que tengamos todas las medidas de seguridad tecnológicas, el control de accesos y de claves; tener políticas directivas que regulen esto y que nos den solidez respecto al acceso y a las claves.
“Desde el punto de vista de auditoría, lo que se va a buscar es que se cumplan con las normas de protección de datos que existen en el Perú, en la Directiva de Seguridad; mientras que, por el lado de la seguridad empresarial o de los datos empresariales, lo que se debe buscar es que contemos con protección; primero de acceso externo, que nadie pueda acceder a la información de la empresa”, precisó.
En ese caso va a depender mucho de dónde está la información, porque si la información está en la nube es distinto a que la información esté en mis propios servidores. “Si está en la nube, mi proveedor usualmente va a ser Amazon o Google o IBM; con esas empresas lo que se tiene que hacer es revisar los estándares de seguridad que tienen o que ofrecen en los servicios que estoy contratando. Lo que tenemos que cuidar es el acceso de terceros a estas nubes para ver qué medidas toman ellos para evitar que estos terceros accedan”, advirtió.
LEA TAMBIÉN: Amenazas digitales: El porcentaje de peruanos que usa su equipo personal para trabajar
En la misma línea, Juan Salazar Campos, director de la carrera de Ingeniería de Sistemas de Información de USIL, destacó que una de las áreas o disciplinas de la ciberseguridad es el cumplimiento de las políticas. “A nivel país, hay leyes de protección de datos, sin embargo algunas empresas, como las pequeñas o medianas, no tienen ni siquiera conocimiento, ni de las leyes, ni de los estándares, ni de las buenas prácticas”, añadió.
Base de datos en al alcance de todos
Otro tema importante que mencionó Revoredo es el control de los accesos internos, ya que muchos de los riesgos de ciberseguridad se dan por la pérdida de claves o la pérdida de mecanismos de identificación y de acceso.
“Una de las principales medidas desde el punto de vista de auditoría es verificar que estas claves cumplan con algunos estándares mínimos, que sean renovadas cada cierto tiempo, que tengan doble factor de autenticación o que tengan algún tipo de complejidad en la clave, que son verificaciones de identidad o de acceso con clave y también explorar algunos otros tipos de verificación de identidad, ya más del lado de los biomédicos o de las claves físicas”, señaló.
La tecnología es una herramienta útil pero requiere de profesionales capacitados. Es ahí donde la cultura, la capacitación y la formación del personal de la empresa, respecto a cómo cuidan la información, es clave.
Y es que, no solo se tiene que poner contraseñas, también tenemos que tener información respecto de quién entra a la base o a revisar la información; “quién accede, quién modifica la información, quién descarga la información para poder nosotros también después hacer una investigación de auditoría y determinar por dónde estuvo la falla de seguridad, por dónde salió la información”.
“Por ejemplo, si uso chat GPT no le debería estar enviando documentos internos de la empresa para que haga un análisis de la información, porque esos documentos no están protegidos dentro de la nube del chat GPT; es más, el chat GPT los puede usar para entrenar la inteligencia artificial”, alertó Revoredo.
“Uno va Wilson uno va a comprar bases de datos y encuentra bases de datos y eso es porque no hay seguridad dentro de las empresas que custodian los datos. Entonces, alguien de adentro de la empresa realmente está descargando los datos y los está vendiendo”, concluyó.
LEA TAMBIÉN: ¿Hasta por cuánto venden los ciberdelincuentes nuestra información personal?
Profesionales fortalecen sus competencias
Respecto a los profesionales que más buscan especializarse en ciberseguridad, KPMG indica que provienen de campos diversos. Entre ellos, destacan aquellos con formación en tecnologías de la información, ya que poseen una base sólida en infraestructura de sistemas, redes y desarrollo de software.
Por otro lado, hay un creciente interés por parte de profesionales de auditoría y finanzas, quienes buscan fortalecer sus competencias para evaluar riesgos cibernéticos en sus organizaciones y clientes.
Además, perfiles de derecho y cumplimiento normativo se están especializando en ciberseguridad para abordar temas de privacidad y regulación.
“Esta diversidad de perfiles es fundamental, ya que la ciberseguridad requiere un enfoque multidisciplinario para enfrentar los desafíos cada vez más complejos que presenta el entorno digital actual”, mencionó el abogado.
Para Salazar Campos de la USIL, la ciberseguridad debe cubrir desde los aspectos humanos hasta el funcionamiento de las máquinas.
“Es como si te dijera, la computadora tiene hardware y software en un extremo y en el otro extremo tiene a las personas que lo utilizan para sus actividades diarias. Entonces, la ciberseguridad debe desde entrenar o alfabetizar a los usuarios para que puedan hacer un buen uso del hardware, del software y de las redes”, indicó.
LEA TAMBIÉN: Ciberataques en la industria minera
Editora digital. Licenciada en Ciencias de la Comunicación, con especialización en periodismo. Experiencia en prensa escrita, digital y TV.
Comienza a destacar en el mundo empresarial recibiendo las noticias más exclusivas del día en tu bandeja aquí. Si aún no tienes una cuenta, Regístrate gratis y sé parte de nuestra comunidad.