Jaime Chanagá, Field CISO de Fortinet para América Latina, Caribe y Canadá
El incremento de los ciberataques tanto a las empresas como a entidades gubernamentales hace necesario contar con sistemas de protección que garanticen la seguridad de todos los datos y de la información de las organizaciones. Pero no todas las compañías están preparadas y las vulnerabilidades se vuelven cada vez más frecuentes. Jaime Chanagá, Field CISO de Fortinet para América Latina, Caribe y Canadá, realiza una puesta a punto del tema y establece cuáles son las vías de acceso que aprovechan los ciberdelincuentes para quebrantar la seguridad de la red. A la vez, además de dar un panorama a nivel local, remarca los patrones a tener en cuenta para mejorar las líneas de defensa y así minimizar riesgos.
¿Cuál es la situación de Uruguay en materia de ciberseguridad en relación con la región y el continente?
De acuerdo con el último Informe Global de Amenazas realizado por nuestro equipo de inteligencia contra amenazas FortiGuard Labs de Fortinet, en 2022 se detectaron en América Latina 360 mil millones de intentos de ciberataques. En caso de Uruguay no contamos con una medición exacta, sin embargo la tendencia, al igual que en el resto de la región, es al alza. Al tiempo que los negocios continúan digitalizándose para cubrir los requerimientos de los consumidores actuales y seguir creciendo, se expande también su superficie de red y, por ende, de ataque.
El ransomware sigue siendo una de las mayores preocupaciones para los CISOs y líderes a nivel local, y es una de las modalidades que más evolución presenta con la llegada de nuevos esquemas de negocio como el RaaS (Ransomware as a Service).
¿Cuáles son las materias pendientes de Uruguay en este tema? ¿Qué es lo que falta hacer?
Existe todavía un área de oportunidad importante en temas de protección contra ciberamenazas en general. El panorama sigue evolucionando, y ante la hiperconectividad que rodea nuestra vida diaria, que es algo que llegó para quedarse y seguirá creciendo.
Otro reto importante es la falta de talento capacitado con habilidades en ciberseguridad. Recientemente publicamos nuestro Reporte de Brecha de Habilidades 2023 y encontramos que a nivel global se necesitan aproximadamente 3.5 millones de profesionales para cubrir la demanda de fuerza laboral global en ciberseguridad, y si consideramos que el 84% de las organizaciones experimentó una o más intrusiones de ciberseguridad en los últimos 12 meses, hay un gran riesgo ahí que es necesario abordar.
Por último, son pocas las empresas que capacitan a sus colaboradores en temas de ciberseguridad, lo cual es un riesgo enorme ya que el factor humano es uno de los principales vectores o vulnerabilidades que utilizan lo cibercriminales al tratar de infiltrarse a una red corporativa.
Tomando en cuenta esto que dice, ¿cuáles son las prioridades que observa para los CISOs y expertos este año?
Es necesario impulsar la velocidad y el crecimiento del negocio. Hoy en día, las organizaciones evolucionan de una manera acelerada para alcanzar los objetivos del negocio, adoptando estrategias de transformación digital. En algunos casos, la seguridad es una idea tardía o un impedimento que desacelera esta evolución. Los CISOs deben tener un impacto significativo en la agilidad de la organización para prosperar económicamente en esta nueva realidad empresarial global asegurando activos, procesos, así como analizando riesgos y preparando planes de contingencia que ayuden al negocio a alcanzar sus metas.
Hay que adoptar la confianza cero. ¿Qué significa? La mayoría de las organizaciones no tienen hoy en día una estrategia de confianza cero (Zero Trust como es conocida en inglés). La estrategia de confianza cero es un modelo de clasificación de acceso a sistemas e información de las organizaciones. Por ejemplo, en los gobiernos no todos los niveles tienen acceso a secretos de Estado. De la misma forma, las organizaciones deben limitar el acceso a información internamente para tener mejor seguridad y control sobre esa información. Una estrategia sin implementación no trae beneficios para las organizaciones. Por eso es importante la adopción de un modelo de Zero Trust Network Access (ZTNA). ¿Qué es el modelo de ZTNA? La arquitectura, los marcos y los modelos de ZTNA se basan en conceptos para validar la confianza y el acceso de usuarios y dispositivos. La actual expansión de la superficie de ataque corporativo requiere la adopción de una estrategia de confianza cero o ZTNA para para proteger las redes, los sistemas y los datos corporativos.
Además, hay que educar al equipo con nuevas habilidades. Los CISOs que entienden que la educación en ciberseguridad es la mejor herramienta para mitigar los riesgos están un paso por delante de las prácticas de la industria. Estos debieran enfocar sus esfuerzos de educación en ciberseguridad para incluir a socios comerciales y a clientes. La educación en ciberseguridad debe sumar esfuerzos sobre concientización y la adopción de conocimientos y procesos como mejores prácticas y estándares que ayuden a las organizaciones a prevenir y recuperarse de cualquier incidente o fuga de información.
A su vez, es fundamental hacer de la seguridad en la nube una prioridad. Las organizaciones de América Latina y el Caribe están impulsando el gasto en computación en la nube a un ritmo creciente, dejando a muchas organizaciones con lagunas en las habilidades de sus profesionales para abordar riesgos en la nube. Los CISOs no deben subestimar los riesgos de seguridad asociados a la adopción de la nube ya que la seguridad es una responsabilidad compartida entre el cliente y el proveedor de nube.
También es imprescindible automatizar la seguridad. Con la creciente proliferación de ciberataques llevados a cabo con automatización e inteligencia artificial, y el Ransomware-as-a-Service (RaaS), las organizaciones son más que nunca incapaces de responder en tiempo real a las ciberamenazas. Es imperativo acortar el tiempo necesario para defenderse de los ciberataques. La implementación de procesos y herramientas de automatización de ciberseguridad garantizará que las organizaciones puedan responder ante una mayor cantidad de incidentes de manera ágil, haciéndolas más resistente a los riesgos actuales y futuros.
Invertir en seguridad de la tecnología operativa (OT) es primordial OT. Hoy en día, sectores como el de fabricación; petróleo y gas; generación y distribución de electricidad; aviación; sector marítimo; ferrocarril; empresas de servicios públicos; transporte; y atención sanitaria utilizan la tecnología de la información como una parte integral de su operación comercial. Los CISOs necesitan abordar el impacto de la seguridad de la OT dentro de sus organizaciones. La integración de la tecnología operativa en las infraestructuras de red, incluidas las tecnologías emergentes como la 5G, está convirtiendo rápidamente a la tecnología operativa en un vector de superficie de ataque crítico para las organizaciones.
¿Es costoso para un país como Uruguay mantenerse actualizado en ciberseguridad?
No es posible hablar de si es costoso o no ya que para poder definirlo habría que hacer un análisis exhaustivo sobre infraestructuras, sistemas y demás componentes de las arquitecturas de ciberseguridad que conforman un país, sus empresas e instituciones. Sin embargo, si hacemos una relación costo- beneficio cuando hablamos a inversión en ciberseguridad, no hacerlo implica quedar expuesto ante un ataque, y esto puede significar pérdidas millonarias.
Recientemente publicamos nuestro estudio de Brecha de Habilidades 2023, que está basado en una encuesta realizada a líderes de todo el mundo, y nos arrojó que casi el 50% de las organizaciones encuestadas sufrió infracciones que costaron más de US$ 1.000.000 en los últimos 12 meses, lo que representa un aumento del 38% en comparación con el informe del año pasado.
Tomando esto en cuenta, y como mencionábamos antes, ante este panorama lo que puede resultar costoso es no actualizarse.
¿No hay un riesgo de que, ante la proliferación de estafas y fraudes, se vuelva atrás y haya consumidores que empiecen a mostrar temor por realizar algunas operaciones de manera remota?
Vivimos en un panorama sumamente digitalizado y si vemos el contexto en el que nos desenvolvemosy cómo las nuevas generaciones consumen, entre otros factores de crecimiento, la verdad es que es muy poco probable que eso pase. Lo que sí es una posibilidad es que al quedar expuestas a un ataque de ransomware o robo de datos, las compañías pierdan la confianza de los consumidores y estos opten por migrar a algún otro servicio que les ofrezca lo mismo y pueda asegurarles que sus datos sí están bien resguardados.
Más bien ahí el reto está para las empresas en cómo asegurar los datos de sus usuarios para que sigan confiando en ellos, y también educar a sus usuarios para que no caigan en algún fraude. Esto se hace a través de campañas de concientización y capacitación, promoviendo mejores prácticas de ciberhigiene y educándolos sobre los métodos que usan los cibercriminales para acceder a sus datos.
¿Qué peligros y qué posibles oportunidades plantea la Inteligencia Artificial (IA) respecto de la ciberseguridad?
En Fortinet llevamos muchos años trabajando con herramientas impulsadas por IA y Machine learning para poder ayudar a reducir la brecha de talentos capacitados en ciberseguridad, que es uno de los principales retos a los que se enfrentan los CISOs y compañías en el país. De acuerdo con el reporte que mencionamos antes de Brecha de Habilidades en Ciberseguridad, se necesitan aproximadamente 3.14 millones de profesionales para cubrir la demanda de fuerza laboral global en ciberseguridad. Al mismo tiempo, destacó que la cantidad de organizaciones que experimentaron cinco o más brechas aumentó un 53% de 2021 a 2022. Una causa de esto es que muchos equipos de ciberseguridad con poco personal están sobrecargados y presionados mientras trabajan tratando de mantenerse al día con miles de alertas de amenazas diarias e intentando administrar soluciones diversas para proteger adecuadamente los dispositivos y datos de su organización. Es acá donde las soluciones amplias, integradas y automatizadas impulsadas por esta tecnología se vuelven indispensables, ya que ayudan a reducir la carga de trabajo de los equipos, monitoreando, detectando y aislando casi en tiempo real las amenazas potenciales antes de que se infiltren a la superficie de red e incluso cuando ya lo han hecho.
¿Por qué es importante la seguridad digital en la IA y cuáles son los riesgos que hay?
Derivado de su proliferación, la IA hoy se convertido en una tendencia calificada como “crítica” ya que ha significado una evolución del ransomware, cuyo vector es capaz de desarrollar algoritmos inteligentes para determinar comportamiento de usuarios, valor de datos para potenciales secuestros y solicitud de rescate, y defensas para determinar cuál es el momento de mayor vulnerabilidad para ejecutar un ataque. Por eso es importante que antes de que cualquier empresa empiece a implementarla a nivel negocio, haga un análisis exhaustivo sobre cómo funciona, cuáles son las políticas de ciberseguridad que deberían aplicarse, qué tanto acceso puede tener o no a ciertas áreas, y qué tan bien protegida está por los mismos fabricantes.
¿Qué pueden hacer las organizaciones para mantenerse a salvo?
Nuestra recomendación desde Fortinet parte de dos vertientes. La primera, como hemos venido hablando, viene de la mano de soluciones amplias que abarquen cada capa de la superficie de red, desde hardware y software hasta cargas de trabajo en la nube y puntos de acceso, integradas que convivan en una sola plataforma para reducir la complejidad y automatizadas, es decir, impulsadas por IA y Machine Learning.
En segundo lugar, es sumamente importante capacitar a los colaboradores tanto de TI a través de certificaciones como las que ofrece nuestro instituto NSE, que cuenta con ocho niveles de certificación especializada y también a los colaboradores en general a través de programas de capacitación y concientización para que estén al tanto de todo lo que ocurre y la evolución del panorama de ciberamenazas.
Perfil
Jaime Chanagá es un innovador en la industria de la tecnología y la seguridad, y se desempeña como Field Chief Information Security Officer (CISO) en Fortinet para América Latina y el Caribe. Le apasiona ayudar a las organizaciones del sector privado, público y social a abordar sus desafíos de seguridad más críticos para garantizar el éxito de su negocio. En este rol, se desempeña como experto, conferencista y asesor de ciberseguridad para organizaciones de la región.
Jaime aporta una sólida trayectoria como asesor de confianza sobre estrategias de ciberseguridad para clientes en América Latina y el Caribe, junto con una amplia experiencia en mercados internacionales, estableciendo alianzas estratégicas globales y liderando programas de transformación digital.
Chanagá es un profesional experto en seguridad de la información con un historial de carrera excepcional de más de 20 años en seguridad de la información, tecnología, privacidad, auditoría, arquitectura de TI, cumplimiento normativo y gobierno de TI. A lo largo de su carrera, ha tenido el privilegio de servir y asesorar a algunas de las organizaciones más admiradas del mundo en los Estados Unidos, Canadá, Europa y América Latina.
Su producción bibliográfica incluye la colaboración como coautor del libro Corporate Security in the Information Age (Aspatore). Actualmente, Jaime es miembro del Consejo Asesor Editorial de SC Magazine, una publicación líder en la industria de la tecnología y la seguridad de la información. También es miembro de InfraGard, una asociación entre el FBI y el sector privado. InfraGard incluye empresas, instituciones académicas, organismos de seguridad y policiales estatales y locales, y otros participantes dedicados a compartir información e inteligencia para prevenir actos hostiles y amenazas contra la seguridad nacional de los Estados Unidos.
Chanagá es Profesional Certificado en Seguridad de Sistemas de Información (Cissp – Certified Information Systems Security Professional). También se graduó de la Academia de Ciudadanos de la Oficina Federal de Investigaciones (FBI) de los Estados Unidos, es oficial de enlace de fusión de inteligencia para el Centro de Fusión del Norte de Texas (NTFC) del Departamento de Seguridad Nacional de los Estados Unidos (DHS) y es miembro del Grupo de Trabajo contra el Fraude Cibernético (CFTF – Cyber Fraud Task Force) del Servicio Secreto de los Estados Unidos (USSS). Jaime habla español, portugués e inglés con fluidez. También es un pianista entusiasta.