Las crisis en las compañías suelen asociarse a las ventas, la competencia, el endeudamiento o las políticas gubernamentales. Sin embargo, rara vez se lista al cibercrimen entre los enemigos que, aunque silenciosos, pueden acabar en cuestión de segundos con cualquier estructura organizacional, sin importar su tamaño ni prestigio.



Aunque el Estado ha hecho un esfuerzo por regular las prácticas asociadas a la protección de datos, el desconocimiento de esta normativa (compliance) por parte de las organizaciones y la falta de un plan de ciberseguridad al interior de las mismas las ha hecho cada vez más vulnerables ante los ciberdelincuentes. Solo en el 2019 se han registrado cerca de 30 mil denuncias por delitos cibernéticos en Colombia, la mayoría de ellos logrados a través de ingeniería social.



Juanita Rodríguez, vicerrectora de Innovación de la Universidad EAN, y el coronel (RA) Fredy Bautista, exdirector del Centro Cibernético de la Policía Nacional, hablan de por qué es imperdonable no invertir en ciberseguridad, no uno ni dos días, sino permanentemente.



Se habla mucho de ciberseguridad últimamente, pero, ¿es un tema reciente?

Juanita Rodríguez (JR)

No, de hecho, es un tema que debería estar maduro en el país. Desde que nos empezamos a conectar a internet, debimos ser cuidadosos en el desarrollo de sistemas seguros.



Coronel (RA) Fredy Bautista (CFB)

No, esto surge desde el momento en que las compañías comenzaron a apropiar las tecnologías. Lo que sí ha cambiado son los métodos de ciberataque; hay una tendencia a monetizar el robo de datos. Las bases de datos, la propiedad intelectual y los secretos de las empresas se convirtieron en un objetivo para los cibercriminales.



¿Cómo está Colombia en esta materia?

JR: Siempre ha estado a la vanguardia, muy jalonada por la OEA, que ha manejado este tema en Latinoamérica; muchas de las cosas que están pasando en ciberseguridad se probaron primero en nuestro país. Nosotros sacamos la primera estrategia nacional en el 2011, que fue ampliada en el 2016 por recomendaciones de la Ocde.



CFB: Los estudios de ciberataques sitúan a Colombia en un tercer lugar, pero esta cifra obedece más al nivel de penetración de internet y al volumen de equipos conectados, pues en Latinoamérica nos supera Brasil y México, que tienen mayor infraestructura tecnológica, además de una población más numerosa. Pero, si hablamos de estrategia en ciberseguridad, desde el 2011 Colombia cuenta con una política de ciberdefensa, que luego fue de seguridad digital.



¿Las organizaciones son conscientes de la necesidad de la ciberseguridad?

JR: El sector privado se ha quedado atrás en entender que este es un tema de múltiples partes y que todas tienen que poner su granito de arena. Hoy, la amenaza va más rápido que la capacidad de las empresas para responder a los ciberataques.



CFB: No como uno quisiera. El nivel de conciencia suele ser proporcional al tamaño de la organización; grupos empresariales fuertes tienen departamentos con un nivel avanzado para gestionar un incidente, pero no ocurre lo mismo con empresas medianas y pequeñas, que piensan en ciberseguridad cuando el ciberataque está encima.



¿Cuáles son las consecuencias de ignorar este tema?



JR: La afectación es de tipo económico, definitivamente. No atender al tema de la ciberseguridad es como dejar abierta la puerta de la bóveda del banco.



CFB: Un ciberataque puede acabar con el buen nombre de una empresa y afectar el relacionamiento con sus clientes, proveedores y stakeholders. También puede frenar la cadena productiva y, legalmente, puede generar responsabilidades por los delitos que cometan las juntas directivas y empleados.



¿Cuáles son los errores más comunes?



JR: El eslabón más débil siempre es el usuario final. Hay empresas en las que todos sus temas son confidenciales, pero sus empleados llegan al aeropuerto y se conectan desde su celular al wifi del lugar, poniendo en riesgo sus datos, los de la organización y los de sus clientes. Tampoco nos fijamos en lo que abrimos desde los computadores de nuestras organizaciones. Cuando bajamos una aplicación no solemos leer los términos y condiciones, solo le ponemos a todo ‘acepto’.



CFB: Adquieren tecnologías sin saber sus riesgos y no generan procesos de formación para sus empleados. A veces, tampoco tienen políticas claras sobre la utilización de correos corporativos, ni sobre el uso de aplicaciones y servicios en los cuales se está exponiendo información que luego le permite al criminal ingresar a la organización.

Entonces, se necesitan más profesionales en este campo…



JR: Así es. Se dice que estas áreas tienen alta remuneración y 100 % de empleabilidad porque se necesita más gente especializada.



CFB: ¡Totalmente! Hay estudios que señalan que para el 2021 el cibercrimen va a triplicar el número de plazas disponibles en materia de ciberseguridad. O sea, por cada persona encargada de la ciberseguridad habrá tres criminales.



¿Hay una oferta académica en el país para capacitar en este tema?



JR: Sí, precisamente, en la Universidad EAN le apostamos a ser un referente en temas de ciberseguridad y queremos entregarle a la industria los perfiles que realmente se requieren para enfrentar las amenazas.



CFB: ¡Claro! Colombia le apunta, como lo vienen haciendo Reino Unido, Francia, Singapur o Estados Unidos, a darle una mayor visibilidad a la ciberseguridad como una profesión y a fortalecer el talento humano.



¿Cuál es la importancia del Diplomado en Ciberseguridad y Compliance que empezará a ofrecer la Universidad EAN?

JR: Este programa, que lanzaremos el próximo 5 de diciembre, es único en Latinoamérica; solo hay dos en el mundo que abordan estos dos importantes temas. Vamos a contar con los más ‘duros’: el Coronel Fredy Bautista, como líder de este diplomado; el español José Ramón Agustina, experto en ciberseguridad y compliance, y un equipo de técnicos muy capacitado.



CFB: Este programa permitirá conocer las tipologías, técnicas y métodos que tienen los autores de un ciberataque, así como las amenazas que enfrentan las organizaciones en el entorno digital. Será una oportunidad para generar conciencia sobre la importancia de involucrar a las distintas áreas de las organizaciones en la responsabilidad de la gestión de los riesgos digitales.