EL IMPACTO DEL RIESGO CIBERNÉTICO EN LA INDUSTRIA DE LA CONSTRUCCIÓN
- Cada vez es más común que las firmas de construcción demuestren prácticas de ciberseguridad sólidas y documentadas
- El eslabón más débil de cualquier sistema de defensa de ciberseguridad son las personas: Ricardo Alvarado, Director de Riesgos en Lockton México
El desarrollo tecnológico se ha puesto de manifiesto en varios sectores y el de la construcción no ha sido la excepción, y es que la digitalización ahora se vislumbra en la utilización de software de proyectos, equipos y relaciones con los clientes, además de maquinaria autónoma y más recientemente drones. Es así que las operaciones cotidianas y elaboración de proyectos ya traen consigo un alto grado de tecnología, lo cual representa un apetitoso negocio para los ciberdelincuentes.
Ello debido a que las firmas constructoras cuentan con gran cantidad de información que va desde la propiedad intelectual, los activos patentados, los planos y las especificaciones arquitectónicas, hasta cuentas bancarias y financieras de las empresas; datos todos ellos que resultan sumamente atractivos para los ladrones en red. Es muy probable que éstos accedan a la información de los empleados para obtener nombres completos, números de seguridad social y datos de cuentas utilizadas para las nóminas.
El riesgo cibernético es muy difícil de controlar en una obra en construcción y es que también están en riesgo los contactos de los clientes, especialmente por la participación de cientos de empleados temporales y permanentes de varias empresas que pueden estar realizando trabajos al unísono, lo que aumenta el número de posibles vulnerabilidades. En este sentido, es necesaria sumar la presión para entregar el proyecto, a la dificultad de gestionar el riesgo cibernético.
Ricardo Alvarado, Director de Riesgos en Lockton México, dijo que la innovación tecnológica impulsa la eficiencia y la transparencia, pero también requiere políticas y procedimientos adecuados de ciber para reducir el riesgo de aquellas empresas que participan en un proyecto. Por ello, agregó, es que hoy día los contratistas solicitan a sus subcontratistas que demuestren prácticas de ciberseguridad sólidas en sus licitaciones. Actualmente las firmas de construcción confían sus datos a los socios de la cadena de suministro que puedan demostrar prácticas de ciberseguridad sólidas y documentadas.
El experto en Riesgos del consultor de seguros privado más grande del mundo, también hizo hincapié en que el propietario de cualquier sistema que contenga información confidencial, debe reducir al mínimo el número de personas que acceden a él y crear normas y procedimientos de seguridad estrictos, pues se ha visto que los responsables de las principales empresas de construcción están dispuestos a dar mayor prioridad al tema, tras el reciente aumento de los ataques de ransomware; y en dicho marco, los contratistas principales deben considerar esta amenaza como parte del plan de gestión.
Lockton México ha detectado varios métodos que utilizan los ciberdelincuentes contra las compañías constructoras y entre los principales destacan:
Ataques de denegación de servicio distribuidos (DDoS) que pueden interrumpir las operaciones y colapsar el servidor o la red. Los ciber delincuentes incluso pueden instalar un ransomware y tomar el control de la tecnología de una empresa.
Vulnerabilidades de terceros a través de contraseñas débiles, hardware no seguro, aplicaciones o servicios en la nube conectados.
Campañas de phishing son la causa de la mayoría de las violaciones de datos y se producen cuando los estafadores envían correos electrónicos de apariencia legítima a los empleados de una empresa, engañándoles para que instalen software malicioso o faciliten información personal. Este puede desde copiar o bloquear datos, cambiar la configuración de seguridad, añadir una empresa a una red maliciosa, hasta consumir recursos e incluso, controlar a distancia los sistemas de la empresa.
La ingeniería social permite a los ciberdelincuentes extraer datos personales valiosos o inicios de sesión mediante anuncios falsos o generando confianza de otra manera.
Otros datos que los estafadores pueden tener como objetivo son información de los empleados, precios de materiales, diseños o planos, propiedad intelectual, como esquemas, datos de licitaciones y estrategias, datos financieros de la empresa (beneficios/pérdidas), registros bancarios y otros informes.
Para evitar en la medida de lo posible el robo de información, Lockton recomienda realizar inventarios de activos para identificar lo necesario para proteger; una evaluación para valorar los riesgos que presentan los activos principales; identificar las áreas vulnerables a las que hay que prestar atención para abordar los riesgos más críticos, además de implementar controles de seguridad; instalar sistemas de supervisión de software especializado y datos para detectar actividades sospechosas; prohibir el acceso a Wi-Fi a los dispositivos externos que no tengan instalado un software de supervisión; educar al personal en materia de ciberseguridad mediante formación especializada, ejemplos de la vida real y pruebas; además de un plan de manejo de crisis y ayuda en caso de catástrofe, por lo que será necesario realizar simulacros para comprobar la capacidad de respuesta de su equipo.
Cabe recordar que el eslabón más débil de cualquier sistema de defensa de ciberseguridad son siempre las personas, por lo que resulta imprescindible educar al personal, ya que ello reduce la exposición al riesgo de la empresa y la probabilidad de éxito de los ataques. En tanto, las compañías deben intercambiar periódicamente experiencias, casos y buenos desempeños con sus pares, a fin de establecer y seguir desarrollando las mejores prácticas del sector, enfatizó Ricardo Alvarado.
