Debido al crecimiento exponencial de los datos, la fuerza impulsora de la economía digital, Tenable informó que tanto el gobierno como la industria en general deberían definir un enfoque principal de ciberseguridad para proteger estos datos que impulsan el comercio mundial.
Según el estudio “La digitalización del mundo: de borde a núcleo”, realizado por IDC a solicitud de Seagate Technology, la esfera de datos globales (cantidad de datos creados, capturados y replicados en todo el mundo) podría crecer hasta 175 zettabytes para 2025. Mientras que los sectores financiero, de manufactura, salud y entretenimiento ayudarían a definir esta nueva era de crecimiento de datos.
Luis Isselin, director general de Tenable México, dijo que los líderes de las organizaciones deben comprometerse con una estrategia que clasifique los ciber ataques como un riesgo económico importante.
El Informe de Riesgos de Negocios Globales de 2018 del Foro Económico Mundial clasifica los ataques cibernéticos como el riesgo global número 3 en términos de probabilidad, detrás de fenómenos meteorológicos extremos y desastres naturales.
Desde el punto de vista de Luis Isselin, desafortunadamente, algunas empresas públicas y privadas incorporan un enfoque de seguridad cibernética que a menudo es erróneo y, en ocasiones incluso inequívoco para abordar los riesgos que amenazan los datos de negocio. En ese sentido, el directivo describió tres formas de actuar de las empresas:
1) Pensamiento mágico. Las organizaciones continúan invirtiendo en herramientas en búsqueda de aquella que elimine cualquier amenaza probable y aún así siguen siendo atacadas debido a que pasan por alto aquellas prácticas básicas de higiene digital.
“Los ciberdelincuentes tienen una oportunidad de siete días para explotar una vulnerabilidad y atacar a sus víctimas, lo que podría desviar datos confidenciales, lanzar ataques de ransomware y causar un gran daño financiero, incluso antes de que las empresas den el primer paso para determinar su vulnerabilidad e identificar si están en riesgo. “, informó Luis Isselin.
2) Respuestas asimétricas. Utilizando la siguiente analogía, un ataque cibernético es casi siempre similar a un ratón mordiendo un cable para dañar el sistema de suministro eléctrico. Para matar al ratón se podría utilizar un gran arsenal de explosivos y armas de alto calibre pero a un costo desproporcionado para su infraestructura.
Las empresas con un alto grado de madurez utilizan a un tirador para eliminar al ratón. Esto significa que cuentan con un enfoque sumamente estratégico en las evaluaciones de vulnerabilidades, éstas deberán ser amplias, dirigidas y a detalle tomando en cuenta la criticidad de cada uno de los activos del negocio.
El informe de Cyber Defender 2018 de Tenable Research destacó que solo el 5% de las organizaciones siguen el perfil más alto de madurez y evaluación de vulnerabilidad diligente. Estas empresas realizan evaluaciones frecuentes de vulnerabilidad con una cobertura completa de activos, así como evaluaciones específicas y personalizadas para diferentes grupos de activos y unidades de negocios, logrando una visibilidad casi continua para saber dónde está protegido o expuesto un activo y en qué medida. “Desafortunadamente el porcentaje de empresas es mínimo”, dijo Isselin.
3) Mala priorización. Todos los días, los departamentos de ciberseguridad se enfrentan a una avalancha de alertas, pero los métodos de evaluación actuales hacen que sea difícil de entender y, por lo tanto de priorizar las vulnerabilidades y las exposiciones comunes que presentan el mayor riesgo empresarial.
Luis Isselin mencionó que, según el Informe Medición y Gestión de los Riesgos Cibernéticos en las Operaciones de Negocio, un estudio independiente realizado por Ponemon Institute a nombre de Tenable, el 62% no incorpora inteligencia sobre amenazas para priorizar qué activos son más importantes de salvaguardar. Por otro lado, el 51% de las organizaciones pasa más tiempo en los procesos manuales que en responder a las vulnerabilidades, lo que lleva a retrasos insuperables en su respuesta.
Tomando en cuenta este escenario, Luis Isselin recomendó un enfoque más sólido que inicia a nivel de la junta directiva e incorpora la disciplina empresarial de Cyber Exposure (exposición cibernética) en todas las actividades de la organización, a fin de garantizar la protección de los datos de negocio.
