Hace unas semanas se llevó a cabo el panel Ciberseguridad Fintech: Hackeando al presupuesto para cumplir las normativa, en el evento Fin&Pay. Con la participación de nuestro CEO y co-fundador, Adriel Araujo y, nuestros amigos Christian Talá de PagoFácil y Nicolás Pávez de Klare. Se tocaron diferentes puntos importantes para el ecosistema emprendedor de Latinoamérica en materia de ciberseguridad.
A lo largo del panel, se habló de regulaciones y, de razones para implementar ciberseguridad y ethical hacking. Aquí encontrarás los puntos más relevantes que se abordaron durante el panel.
Primero que nada, ¿por qué es bueno invertir en ciberseguridad?
Existen 3 razones principales por las que las empresas buscan iniciarse en materias de ciberseguridad; pero, antes de decirte cuales son es importante entender cuál es la diferencia entre fraude y seguridad de la información.
El fraude se lleva a cabo cuando existe una vulnerabilidad en la seguridad de la información y un hacker aprovecha la oportunidad para obtener esos datos y utilizarlos maliciosamente. En pocas palabras, el fraude es consecuencia de una brecha en los sistemas de seguridad de la información, explicó Araujo.
Ahora sí, las principales razones por las que una empresa comienza a invertir en ciberseguridad son:
- Oportunidad de negocio con un corporativo: Usualmente las empresas establecidas de este tamaño buscan que sus proveedores cuenten con los mismos estándares de seguridad que ellas. Esto con el propósito de evitar poner en riesgo a sus clientes, información y operaciones a través de terceros.
- Regulaciones: Existen países e industrias en los que es necesario cumplir con regulaciones de seguridad para poder operar. Incluso podrás encontrarte con clientes que te pidan este cumplimiento, como mencionamos en el punto anterior. Algunas de las regulaciones más importantes para LatAm en materia de seguridad son PCI DSS e ISO 27001. Si te interesa el mercado europeo dale un vistazo a la PCD2 y próximamente PCD3.
- Gestión de riesgo: Aquí la pregunta que debes hacerte es ¿cuánto pierdo si un hacker tira mi plataforma? Tal vez sea sólo durante un lapso de 10 minutos, pero cada segundo cuenta y cada segundo es dinero perdido. Si tienes las medidas necesarias para evitar este problema, podrás ahorrarte mucho en pérdidas.
La cuestión es, ¿de verdad es necesario esperar a tener un problema, o a que consigas ese cliente que te subirá de nivel?
No esperes a que sea estrictamente necesario
Como dicen por ahí, es mejor prevenir que lamentar. Realizar certificaciones de seguridad y reportes de white hacking es esencial para tener un mejor funcionamiento de la plataforma y para evitar ataques a tus sistemas.
Es comprensible que al iniciar un negocio si tengas contemplado implementar medidas de seguridad pero que no sea tu prioridad. Priorizar y adelantar este trabajo puede traerte múltiples beneficios. ¿Por qué esperar a que un hacker se divierta con tus vulnerabilidades?
“Creo que certificaciones de seguridad, a la vez de empresas de white hacking como la de Adriel, te ayudan a darte cuenta de posibles vulnerabilidades que tengas, antes de que estas ocurran”, comentó Talá.
Por otra parte, sabemos que conseguir una certificación puede ser tardado y laborioso. Pero, también hay que recordar que al contar con dichas certificaciones le estás abriendo camino a tu empresa para que crezca. Adelantarte puede ayudarte a corregir esos errores mientras todavía estás en etapa de desarrollo.
Este punto es importante porque también hay que proteger la información del cliente final. A fin de cuentas, una brecha de seguridad puede costarte mucho dinero. Además una vulnerabilidad puede generar un daño reputacional.
Pavéz platicó sobre su caso con Klare y cómo es que siempre antes de lanzar un producto se fija en reportes de ethical hacking que ha trabajado con nosotros. De igual manera, habló de cómo decidió realizar el framework de cumplimiento para ISO 27001. También mencionó que debes mantenerte actualizado sobre las posibles brechas que otras industrias puedan tener.
La importancia de la documentación
Por un lado están los corporativos que tienen pergaminos de ciberseguridad que nadie lee ni sigue; y por otro lado tenemos a las startups que tienen sus políticas de seguridad implementadas pero no documentadas. Ninguna de estas prácticas es ideal.
La documentación es importante porque es necesario llevar un control de los accesos y de cómo funcionan todos y cada uno los controles de seguridad dentro de la empresa. Para tenerlo de una manera más ordenada, te recomendamos tener un documento en google drive donde centralices todo y tengas los accesos limitados para evitar filtraciones e ir fragmentando la información conforme crezca la compañía. “La buena práctica es empezar con poco e ir creciendo con el tiempo.”
Hackmetrix Insight: También recuerda remover los accesos a exempleados. Se compartió el caso de Mediastream; donde un exempleado se fue descontento y después de un tiempo notó que todavía tenía accesos. Los mismos que le permitieron eliminar completamente las bases de datos.
¿Realmente estás tan preparado como crees?
De acuerdo con la Asociación de Internet Mexicana (AIMX), el 63% de las empresas en México consideran estar muy preparadas o racionalmente preparadas en materia de ciberseguridad, mientras que el 64% declara haber tenido un ataque o vulneración; de estas el 44% se ha visto afectada y ha tenido que interrumpir sus operaciones después del ataque.
Como mencionó Talá, no existen empresas muy preparadas para un ciber ataque, “si la empresa está pensando de esa manera lo más probable es que, tal vez no mañana, ni en un mes, pero pronto si va a tener un problema.”
Esto que menciona Christian es algo que en Hackmetrix notamos mucho, ya que, constantemente vemos empresas que entre más afirman estar seguras, menor es su cumplimiento.
Seguridad para el cliente final
En general, la preocupación de los internautas es la suplantación de identidad. Por eso, tenemos que hacer entender al usuario final que es el eslabón más débil de la cadena.
El riesgo siempre está en la privacidad del usuario. Hablando como tal, las personas que están a tu alrededor tienen que protegerse también. No es suficiente con que implementes protocolos para proteger la información si tus empleados no hacen lo mismo en sus cuentas privadas.
Como comentaba Talá, “no hay peor gestión que la que no se hace.” Tal vez no tengas el cumplimiento al máximo de las políticas, lo importante es trabajar y subir el estándar. Con el tiempo vas a estar preparado. Al final lo que de verdad importa es hacer los trabajos de pentesting, tener las políticas de seguridad por escrito, e implementarlas.
Ponte al día y ocúpate de los usuarios a tu alrededor. Esto también implica educar a tu usuario final. Enséñale que realizar acciones de seguridad como crear contraseñas seguras y la autenticación de dos factores es para protegerlo. Por otra parte, se abre la disyuntiva entre UX y ciberseguridad. Ya que, como dijo Araujo, “UX y seguridad nunca van de la mano”.
Lo que aprendimos
En resumen podemos decir que es muy importante que sepas dónde está parada tu empresa en materia de ciberseguridad. Asegúrate de cumplir con las regulaciones necesarias y de tener bajo control esas vulnerabilidades; y por supuesto, no olvides documentar todos esos protocolos que vas a implementar.
Si tienes alguna duda sobre el cumplimiento de regulaciones o reportes de ethical hacking, en Hackmetrix podemos guiarte paso a paso.