En Uruguay “estamos con las defensas bajas en lo digital” y falta fortalecer normativa en ciberseguridad

Desde la Agesic destacaron que hay subregistro de incidentes, tanto a nivel público como privado. Además dijeron que se necesita de cooperación institucional para afrontar los incidentes.

Compartir esta noticia
Seguridad informática
Seguridad informática.
Foto: Canva

Redacción El País
El incidente de ciberseguridad de Guyer & Regules puso nuevamente sobre la mesa la prevención y riesgos que hay sobre este tema a nivel institucional en Uruguay. Mientras que año a año crecen los incidentes de ciberseguridad entre un 20% y un 30%, en Uruguay, expertos señalan que aún no se percibe como un peligro significativo a nivel de las organizaciones, como tampoco están aún legislados de forma específica algunos delitos informáticos.

Desde la Agencia de Gobierno Electrónico y Sociedad de la Información (Agesic) explicaron a El País que “estamos con las defensas bajas en lo digital”, donde se necesita de cooperación institucional para afrontar los incidentes.

Asimismo, destacaron que desde el organismo están buscando fortalecer la normativa en esta materia, en donde buscan que se tipifiquen los delitos informáticos -actualmente hay un proyecto en el Parlamento que cuenta con aprobación en una cámara- y, además, trabajan en reforzar el reporte de incidentes de los organismos públicos a través de la Rendición de Cuentas. No obstante, señalaron que hay un subregistro de incidentes, principalmente en el sector privado donde, bajo determinadas circunstancias, no hay obligación de reportar.

Según el Centro Nacional de Respuestas a Incidentes de Seguridad Informática (CERTuy), durante 2022 se detectaron y respondieron 4.169 incidentes, de los cuales el 3% fueron clasificados con severidad “Alta” o “Muy alta”. Al comparar con los incidentes en 2021, hubo un aumento de más del 100% de este tipo de incidentes.

Se destaca también el aumento en los incidentes llamados “Recolección de Información”, como consecuencia de varias campañas de phishing cometidas durante el año, lo que generó un crecimiento de un 10% respecto del año anterior.

La cantidad mensual de incidentes atendidos se mantuvo estable a lo largo del año, con un mínimo de 223 incidentes en julio y un máximo de 575 en octubre. El director de Seguridad de la Información y la asesora legal de Agesic, Mauricio Papaleo y Jimena Hernández, explicaron a El País que “la información es una mercancía más de cambio”, para las instituciones, por lo que deberían considerarla dentro de sus activos, asignándole un valor.

En esta línea, destacaron el aumento anual que se ve de los incidentes de criticidad “alta o “muy alta”, los cuales requieren una cantidad “muy grande” de especialistas para trabajar en ellos, que significan entre 200 y 400 horas dedicadas a trabajar en ellos.

“Esto se llama ‘remediación’. Esto es como los bomberos, te llenan la casa de agua (para apagar un incendio) pero tenés que comprar los muebles, reparar las paredes. Ese tiempo es dedicado a eso”, explicó Papaleo.

En ese sentido, afirmó que estos incidentes, solo para su “remediación” -mitigar el incidente y que quede en una situación estable- puede costarle a la organización entre US$ 40.000 y US$ 50.000. No obstante, mientras sucede el incidente, puede haber otras pérdidas como lucro cesante, pérdida de reputación, casos de extorsión, entre otras.

Así como las organizaciones criminales que desarrollan los ciberataques son trasnacionales, los expertos señalaron que la situación de Uruguay no es diferente a la de otros países del mundo, en donde se han visto incidentes importantes, en el último tiempo, en diferentes jurisdicciones como Estados Unidos y Colombia.

Asimismo, señalaron que el primer paso para prevenir estos ataques es “que las organizaciones comiencen a tener conciencia de que este tema tiene que estar arriba de la mesa, porque es un riesgo muy grande”.

“Así como las empresas tienen sus riesgos financieros, sus riesgos de personal, sus riesgos operativos, este es un riesgo muy grande en todo lo que implica la empresa porque toca muchas áreas una vez que ocurre”, dijo Papaleo.

Para esto, deben evaluar sus riesgos en esta materia. Una vez determinados los mismos, se debe contar con respaldos de la información, “que funcionen” y que estén fuera de línea, además de saber el tiempo de recuperación de esos respaldos.

Luego, señalaron que otra medida es determinar cuáles son los datos más críticos y que estén cifrados por la misma organización. “Reconocer que la información es mi activo crítico más importante y que la tengo que tener ordenada”, sostuvo Hernández.

En esta línea, señalaron que, así como al construir un edificio no se cuestiona la inversión a realizar en el sistema antiincendios, tampoco debería suceder en relación a la ciberseguridad. Para esto, destacaron que, según estudios internacionales, se debería destinar el 10% del presupuesto fijado para el departamento de tecnología.

Por otra parte, señalaron que se debe cuidar la “cadena de suministro”, en donde los ciberatacantes pueden ingresar a la organización a través de un proveedor de la misma.

¿Encontraste un error?

Reportar

Te puede interesar