El acceso a Internet y los dispositivos digitales en forma masiva en el mundo ha traído aparejado el aumento de los denominados ciberdelitos que afectan tanto a los usuarios personales como las empresas y organizaciones, constituyendo uno de los mayores desafíos que se enfrentan a nivel mundial en materia digital.
Uruguay es uno de los países más desarrollados en la región en lo que respecta a gobierno digital, comercio electrónico y uso de Tecnologías de la Información y la Comunicación (TIC). A nivel regional se destacan sus avances en cuanto a la posibilidad de trámites del estado en línea, el hecho de contar con documento de identidad con chip e información biométrica o la firma digital y la historia clínica digital, entre otros.
Las políticas y acciones de gobierno digital y ciberseguridad son regulados por la Agencia de Gobierno Electrónico y Sociedad de la Información y el Conocimiento (Agesic), contándose con un Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CERT.uy). No obstante, los esfuerzos por proteger nuestro espacio digital no han logrado avanzar al mismo ritmo que el proceso de digitalización de la sociedad, y es necesario profundizar en ciberseguridad.
De acuerdo a la información oficial, los ciberdelitos se incrementaron significativamente en los últimos años, por lo que las autoridades promueven la concientización y capacitación para la adopción de conductas digitales que contemplen la seguridad en el uso de dispositivos, tanto a nivel de usuarios personales como empresas y organizaciones.
Un análisis cualitativo titulado “El ecosistema de ciberseguridad en el país”, publicado por Agesic en 2020 (que comprendió a 40 empresas nacionales pertenecientes a los sectores financiero, de salud, de tecnología y de telecomunicaciones), evidencia que se trata de un tema central para el gobierno y las empresas del país en el marco de su transformación digital.
No obstante, aún no se visualiza a la gestión de la ciberseguridad como parte de la estructura organizativa de las empresas nacionales. Por el contrario, las organizaciones suelen reaccionar luego de sufrir incidentes serios y, aun así, en su gran mayoría no incluyen a la ciberseguridad como un eslabón que integre su estructura a pesar que un 80% de ellas perciben que el riesgo de la ciberseguridad puede ser catalogado en como “alto” o “medio”.
“Si bien la gestión de la ciberseguridad es un tema que debería estar presente en la agenda de todas las empresas nacionales, casi la mitad de las empresas que participaron de este estudio (45%) no cuentan con un área específica que trabaje en ciberseguridad. Sin embargo, no siempre esto indica que no cuenten con algún recurso que pueda apoyarlos en la temática, pero sí demuestra que aún no se ha incorporado estructuralmente en las organizaciones un área que cumpla dicha función”, señala el informe.
A su vez, generalmente tampoco se cuenta con un presupuesto adecuado a ser invertido en iniciativas de la materia, así como con profesionales suficientemente capacitados.
En este sentido, según el mencionado estudio, un 33% de las empresas entrevistadas ven como un desafío la falta de presupuesto adecuado, lo cual puede ser una limitante ya que “cuando se omite la ciberseguridad dentro de la cadena de valor del negocio digital, no se logra un ecosistema de confianza y se pierden oportunidades comerciales significativas”.
Es posible que las empresas aún consideren la ciberseguridad y la respuesta a la violación de sus sistemas como un problema exclusivamente tecnológico cuando en realidad es “un problema comercial crítico que puede afectar las operaciones, la confianza del cliente y el crecimiento futuro”.
Las consecuencias de los incidentes digitales incluyen el daño económico –con impacto en la disponibilidad del servicio y por la compensación de los afectados–, el daño en la confianza y reputación de las organizaciones o el gobierno y, no menos importante, el daño a la privacidad de los ciudadanos cuyos datos suelen quedar expuestos en un ciberataque.
La falta de recursos humanos profesionales es un problema importante, estimándose que en Uruguay hay unos 650 profesionales de ciberseguridad. En este sentido, la existencia de capacidades limitadas a la interna de las empresas para lidiar con este problema hace que se busquen servicios externos, siendo el sector financiero el que más contrata servicios de ciberseguridad, seguido del sector de la salud. En este marco, encontrar especialistas formados se avizora un problema a mediano y largo plazo en la medida que las empresas comiencen a tomar más conciencia del problema y requerir más servicios.
En cuanto a la formación, el estudio señala que a nivel universitario son varias las instituciones en Uruguay que dentro de sus planes de estudio han incorporado la seguridad de la información, permitiendo a los alumnos un acercamiento a la temática, aunque es necesaria la formación adicional en caso de querer lograr el conocimiento que les permita desempeñarse como especialistas en esta área.
Por su parte, las empresas tienen la percepción de que la oferta académica es insuficiente y, si se piensa en el incremento de capacitaciones existe falta de docentes calificados y de estudiantes interesados en esta especialización.
“Una preocupación relevante en el contexto de la formación es el enfoque práctico de entrenamiento de los estudiantes, faltando recursos y herramientas que lo hagan posible. Esto puede generar un excesivo énfasis en la teoría y un insuficiente entrenamiento práctico para el marcado laboral”, agrega el informe.
El cibercrimen se ha convertido en una poderosa industria que ha sobrepasado al tráfico de droga en volumen de recursos financieros generados. Por otra parte, quienes operan en la industria criminal de los ciberataques pueden acceder a un desarrollado mercado de productos y servicios que apoyan el ciberdelito haciéndolo fácil y barato.
Se trata de un gran problema que procura enfrentarse de diferentes formas. Nuestro país está trabajando fuertemente en esta área desde hace ya tiempo y su buena performance de gobierno electrónico y digitalización de la sociedad ha posibilitado a recursos financieros y apoyo técnico internacional para estas acciones.
Para aquellos que tienen inclinación por carreras tecnológicas, se trata de un área de especialidad que representa una gran oportunidad de desarrollo profesional, por la alta demanda en el mercado de especialistas y de empresas que brindan servicios de ciberseguridad.
A nivel de las organizaciones, teniendo en cuenta que la amplia mayoría de las empresas e instituciones del país dependen de la tecnología digital para poder funcionar y desarrollar sus procesos, una buena gestión de la seguridad de la información se convierte en un activo fundamental para poner en salvaguarda su posibilidad de desarrollar las actividades y aprovechar la tecnología y sus oportunidades. Tenemos en ese sentido un gran desafío por delante.