La ciberseguridad es una pesadilla permanente para los equipos IT que trasciende a toda la organización: está presente en todos lados. Establecer objetivos claros de protección que permeen a la compañía completa puede ser uno de los más efectivos métodos de ayudar a optimizar la protección de la información.
Esta problemática hace evocar una frase que se atribuye a Henry Ford: “No hay que encontrar la falla, hay que hallar el remedio”, que se trajo a colación en la más reciente reunión de ciberseguridad del Foro Económico Mundial a propósito de la responsabilidad que tienen los líderes empresariales en este tema.
Los riesgos están por doquier, pueden llegar al abrir el correo electrónico o compartir un video con un contacto a través de Whatsapp, en el cajero automático, mediante los dispositivos IoT, e incluso por los sistemas de calefacción o aire acondicionado de los edificios. Las organizaciones no pueden evitarlos y la única opción a estas alturas es aprender a vivir con ellos y hacerles frente.
Estos son algunos objetivos útiles para pasar a la ofensiva en esta problemática durante el 2020:
- Evaluar la necesidad de contar con un especialista en seguridad
Ahora que prácticamente todas las organizaciones viven en un estado de guerra permanente contra los ciberataques, el tema no puede estar en manos poco capacitadas. Y aunque hay estudios que señalan que la seguridad está al tope de las prioridades de las organizaciones, muy pocas cuentan con un Chief Information Security Officer o una posición similar.
El CISO es el que ejecutivo establece políticas, estándares y procedimientos de seguridad corporativa que deben ser cumplidos por todo el personal. Él también es consciente del rol que juegan desde los miembros del Consejo directivo hasta el último empleado en la protección de la información en la organización. Quizá, 2020 marca el momento de contratar un CISO. - Transformar la ciberseguridad en cultura
No basta con actualizar y tener parchados todos los sistemas. No importa una inversión multimillonaria en software para proteger el perímetro. Solo se requiere que una persona de la empresa descuide sus credenciales para desatar una avalancha de problemas de seguridad.
El tema está presente, tanto que este año, la temática del RSA Conference —a celebrarse en febrero en San Francisco—, será por primera vez “el elemento humano”. Esto porque gran parte de los ataques a las empresas se originan en fallas humanas, luego de que alguien abre un archivo o un correo sospechoso. Por ende, resulta vital que la alta dirección haga explícito que la ciberseguridad es un problema de todos en la empresa. - Implementar un programa de administración de riesgos
Si hay tecnología involucrada, no existe un lugar seguro. Lo importante es que estos riesgos no inmovilicen la operación o ralenticen la toma de decisiones en la organización.
Para desarrollar una estrategia que permita enfrentar los riesgos, es necesario hacer un análisis. Al respecto, Pablo Corona, director general de NYCE Sociedad Internacional de Gestión y Evaluación S. C., afirma que el objetivo del análisis de riesgos debe ser identificar acciones a tomar. Esto puede mostrar la necesidad de implementar controles de seguridad, establecer políticas, reglas, sanciones y elementos de monitoreo para tomar medidas de seguridad específicas. De esta manera se evitará que la seguridad se convierta en un lastre para la organización. - Crear una estrategia a largo plazo y alinearla con los objetivos de la organización
Cada vulneración a la seguridad representa en promedio $8.2 millones de dólares en costos. Una organización inteligente no puede restar de sus estrategias y proyectos futuros la ciberseguridad para proteger el negocio. Si los planes a tres años no están considerando de qué forma se protegerá la información, es posible que las consecuencias terminen por derribar cualquier proyección posible para el negocio.
La estrategia debe alinearse con los objetivos que tiene la empresa y considerar inversión en recursos, preparación del personal especializado y educación de todos los usuarios para proteger la información. En el IT Masters CON Monterrey 2019, Menny Barzilay, experto en ciberseguridad que tuvo a su cargo los servicios de inteligencia de las Fuerzas de Defensa de Israel, señaló que “hay compañías que invierten millones, decenas de millones o más pero no cuentan con procesos y sistemas elementales de seguridad”. Si no se tiene una estrategia, la inversión no es redituable. - No reinventar la rueda
La seguridad es un tema complejo, con muchas aristas y nodos que considerar, pero no es necesario hacerlo solo. De acuerdo con la OEA, el costo total de respuesta y de recuperación ante incidentes de seguridad digital para una entidad financiera grande promedio en México equivale aproximadamente a $2.3 millones de dólares al año, cifra que pone a pensar en la necesidad de recurrir a expertos que asesoren al tiempo que se desarrolla personal especializado que se certifique para brindar protección a los principales activos de las empresas.
Además de acercarse a proveedores confiables, que cuenten con skills y certificaciones, habría que considerar que haya en el equipo IT alguien que forme parte de una comunidad de especialistas en ciberseguridad y seguir lo que indican marcos regulatorios diversos, como el NIST, para enfrentar de manera sistemática todo tipo de riesgos que pueden atacar la información de la empresa.
Las pérdidas por vulneraciones informáticas representan un riesgo enorme para las organizaciones. Evitarlas con medidas preventivas, objetivos que se midan por periodos, puede ayudar a protegerse.
Prohibida su reproducción total o parcial.