Radiatou Ouro-Gbele, experto y líder de entrega en ciberseguridad, es director ejecutivo de OG IT CONSULTING
Según un estudio reciente de Cybersecurity Ventures, los costos globales del cibercrimen alcanzarán los 10,5 billones de dólares hasta 2025. Este aumento está impulsado por la creciente actividad de los grupos cibercriminales y los ataques respaldados por gobiernos. Realidades que también están presentes en las empresas de sectores críticos como las finanzas, la banca, el petróleo y el gas, pero que escapan a sus directivos. Se enfrentan a una falta de acceso a la información cibernética, que, sin embargo, es necesaria para tomar decisiones informadas.
Radiatou Ouro-Gbele, experto y líder de entrega en ciberseguridad, es director ejecutivo de OG IT CONSULTING, una agencia que apoya a los principales actores de las finanzas, la energía y la aeronáutica. En esta entrevista, destaca las implicaciones de la formación en ciberseguridad para los directivos en la lucha contra el cibercrimen.
Cio Mag: ¿Cómo es esencial el acceso a la información y la capacitación en ciberseguridad para los altos ejecutivos de empresas que manejan datos sensibles y secretos industriales?
Radiatou Ouro-Gbele: Esta necesidad surge de su responsabilidad de proteger datos sensibles y secretos industriales esenciales para la competitividad y supervivencia de sus organizaciones. Como se destaca en el último informe de Interpol sobre la evaluación de las amenazas cibernéticas en África, “ provisión de capacitación y capacidad forense adecuadas [en Afrique] es esencial. »
Como sabes, la ciberseguridad no es estática; está en constante evolución con la aparición de nuevas amenazas y tácticas de ataque. Os pongo un ejemplo: según un estudio de 2023, el 85% de los profesionales de la seguridad han notado un aumento de los ciberataques ayudados por la IA generativa, una de las novedades de los últimos años.
Por lo tanto, es esencial que los ejecutivos se mantengan actualizados sobre las últimas vulnerabilidades y tipos de ataques para comprender mejor los riesgos a los que su empresa puede estar expuesta, incluidos ransomware, APT (amenazas persistentes avanzadas) y otro malware. Especialmente con una sólida comprensión de los riesgos y tecnologías de ciberseguridad, los ejecutivos están mejor equipados para tomar decisiones informadas con respecto a las inversiones en seguridad de TI. Pueden priorizar los recursos donde más se necesitan para proteger los activos comerciales críticos.
Un tercio de las empresas marfileñas padecen una falta de apoyo interno dedicado a la ciberseguridad.
Además, no se trata sólo de África. Un estudio de Ipsos de 2024 muestra que el 59% de los empleados franceses encuestados aún no se han beneficiado de formación ni de sensibilización sobre los riesgos de ciberseguridad en los últimos dos años, mientras que el 67% cree que dicha formación sería beneficiosa. Entre los que recibieron formación, el 84% dijo estar satisfecho, encontrando la formación relevante y adaptada a sus funciones.
¿Qué datos revelan la necesidad de llenar este vacío?
Las conclusiones del informe de 2024 del Banco Europeo de Inversiones (BEI), “Finanzas en África”, revelan que casi el 65% de los bancos que operan en África subsahariana identifican los riesgos de ciberseguridad como una barrera importante para acelerar su transformación digital. Esta estadística destaca una preocupación sectorial que requiere atención inmediata, especialmente en un contexto donde la digitalización es crucial para el crecimiento y la inclusión bancaria y financiera. En OG IT CONSULTING hemos podido comprobar de primera mano esta realidad gracias a nuestra colaboración con un banco panafricano, líder en el continente. Trabajando estrechamente con esta institución, hemos descubierto que invertir en capacitación ejecutiva en ciberseguridad no es solo un costo, sino una palanca estratégica que impulsa una transformación digital segura y efectiva.
Te daré otro ejemplo. El Barómetro de madurez de la ciberseguridad empresarial 2024 de Kaspersky destacó un problema importante: un tercio de las empresas marfileñas sufren de falta de apoyo interno dedicado a la ciberseguridad. Esta situación se ve agravada por la escasez mundial de profesionales en este campo, estimada en 4 millones de personas por (ISC)², incluidos al menos 100.000 en África. Además, la representación de las mujeres en este sector es sólo del 9%, lo que pone de relieve importantes disparidades de género. Esta falta de habilidades especializadas pone de relieve un imperativo: que los ejecutivos, particularmente los de África, no sólo sean conscientes de los riesgos de ciberseguridad, sino que también estén equipados para gestionar y liderar equipos que pueden tener menos experiencia o falta de personal.
¿Cuáles son algunos ejemplos de empresas de diferentes industrias que han sido pirateadas y cómo escaparon?
En los últimos años, la Compañía de Electricidad de Ghana (ECG) (la mayor distribuidora de electricidad del país), los bancos nacionales de Zambia y Sudán del Sur, las agencias públicas de Etiopía, Senegal y Zimbabwe, o incluso el proveedor sudafricano de servicios de Internet RSAWEB, han sido víctimas de ataques de ransomware. Incluso la Unión Africana fue objeto de un ataque devastador por parte del grupo BlackCat (también conocido como ALPHV) contra su red interna en 2023.
[…] En OG IT CONSULTING ayudamos a nuestros clientes a desarrollar estrategias integradas de gestión de riesgos.
CODIVAL, que se especializa en proteger el transporte de efectivo, fue atacado recientemente por el grupo de ransomware SpaceBears. Los atacantes utilizaron una técnica de doble extorsión, robando datos confidenciales antes de cifrar los archivos de la empresa. Esta empresa fue atacada por el grupo Lockbit, que filtró 280 gigabytes de datos confidenciales, afectando a información crítica de los clientes, hasta recetas de productos.
Estos incidentes ponen de relieve una tendencia preocupante en África, donde la sofisticación de los ciberataques está aumentando. En respuesta, en OG IT CONSULTING ayudamos a nuestros clientes a desarrollar estrategias integradas de gestión de riesgos. Esto incluye capacitar equipos, implementar sistemas de defensa sólidos (como sistemas de gestión de identidad y acceso privilegiado). [IAM/PAM]) y respuesta a incidentes, y crear una cultura de seguridad de TI que se extienda a todos los niveles de la organización.
¿Cuánto cuesta a las empresas el cibercrimen y la ciberseguridad?
Según las últimas cifras de IBM (2024), un ciberataque costaría una media de 4,91 millones de dólares a nivel mundial. En África, se estima que el coste del delito cibernético ronda el 10% del producto interior bruto continental, o unos 4.200 millones de dólares.[1]. Por último, cabe señalar que se espera que el mercado de la ciberseguridad en África alcance los 14.600 millones de dólares en 2030, en comparación con los 2.780 millones de dólares de 2021.[2].
¿Qué papel puede desempeñar la sensibilización de los altos directivos a la hora de adoptar estrategias para proteger las estructuras?
La concienciación sobre la ciberseguridad entre los altos ejecutivos es fundamental porque influye directamente en la capacidad de una organización para defenderse de las amenazas digitales. Los líderes que comprenden los desafíos de la ciberseguridad están en mejores condiciones de percibir la ciberseguridad no como un gasto marginal sino como una inversión estratégica esencial para la sostenibilidad de la empresa. Esta conciencia es crucial porque determina cómo se asignan los recursos, tanto humanos como financieros, para fortalecer las medidas de seguridad.
La concienciación también influye en la capacidad de respuesta de la organización ante los incidentes de seguridad. Los líderes capacitados e informados sobre las mejores prácticas de respuesta a incidentes pueden orquestar una gestión de crisis más coordinada, minimizando los impactos de los ataques y acelerando el regreso a la normalidad. También pueden colaborar mejor con expertos en ciberseguridad, autoridades reguladoras y otras partes interesadas para mejorar continuamente las prácticas de seguridad.
Además, los ejecutivos conscientes desempeñan un papel crucial en la promoción de una cultura de seguridad dentro de la empresa. Pueden influir positivamente en las actitudes de todos los empleados hacia la ciberseguridad, enfatizando la importancia de seguir los protocolos de seguridad y hacer de la formación periódica en ciberseguridad un estándar para todos los niveles de la organización. Este enfoque ayuda a prevenir errores humanos, que suelen ser el eslabón débil de las infraestructuras de seguridad.
¿Qué pasa con la financiación de la ciberseguridad y la colaboración entre estructuras?
Para hacer frente a la amenaza cibercriminal, es necesario aumentar significativamente las inversiones en ciberseguridad. El informe Kearney recomienda una inversión anual de 4.200 millones de dólares en África[3]. Esto representaría aproximadamente el 0,25% del PIB acumulado del continente, un porcentaje alineado con el gasto en ciberseguridad en mercados maduros como Estados Unidos y Europa.
Senegal, 22 añosth Los países africanos aplicarán el IVA a los servicios digitales en 2024
Pero entonces la pregunta que cabe plantearse es ¿cómo recaudar estos fondos? En mi opinión, es necesario un enfoque integrado que combine presupuestos estatales específicos, ayuda internacional, inversiones privadas y asociaciones público-privadas.
Estos fondos deberían utilizarse para lanzar iniciativas de sensibilización, formar especialistas y desarrollar infraestructuras de seguridad. Los gobiernos también pueden fomentar la inversión privada mediante incentivos fiscales y apoyar a las nuevas empresas de ciberseguridad mediante capital de riesgo. Además, la emisión de “ciberbonos” y la imposición de impuestos a los servicios digitales –como Senegal, 22th Los países africanos aplicarán el IVA a los servicios digitales en 2024[4] – podría generar ingresos adicionales dedicados a la ciberseguridad. Al combinar estas fuentes de financiación, África puede fortalecer su resiliencia contra los ciberataques y al mismo tiempo fomentar el desarrollo tecnológico, creando un ecosistema de ciberseguridad sólido y sostenible.
Pero más allá de la inversión financiera, es fundamental cambiar la mentalidad y promover una cultura de seguridad en todos los niveles de las empresas y el gobierno. Esto incluye formar equipos, pero también adoptar tecnologías de vanguardia y desarrollar asociaciones público-privadas para mejorar el intercambio de información y recursos. Esto es en lo que creemos en OG IT CONSULTING.
[1] https://www.scidev.net/afrique-sub-saharienne/news/lafrique-a-perdu-10-de-son-pib-en-2021-du-fait-de-la-cybercriminalite/
[2] https://securityafricamagazine.com/africa-cybersecurity-market-predicted-to-hit-new-profit-making-growth-by-2030/
[3] https://www.agenceecofin.com/telecom/1907-110426-cybersecurite-les-pays-africains-doivent-investir-4-2-milliards-par-an-pour-ameliorer-leur-resilience-rapport
[4] https://www.jeuneafrique.com/1583096/economie-entreprises/taxer-les-gafam-un-pari-risque-pour-les-pays-africains /#:~:text=Le%20S%C3%A9n%C3%A9gal%20est%20d%C3%A9sormais%20le,risque%20de%20p%C3%A9naliser%20les%20consommateurs.
Michael Tchokpodo
Michaël Tchokpodo es periodista de comunicación y un agudo observador de los cambios relacionados con las tecnologías digitales y el desarrollo sostenible. Corresponsal en Benin de CIO Mag.