El sector de la seguridad cibernética tiene un problema de personal. El departamento de TI se ha desconectado de la alta dirección, y viceversa. Octubre es el mes de la ciberseguridad, por lo que estamos en un momento idóneo para profundizar sobre el enorme reto de las empresas: y es que hay una clara brecha en el escalón más alto de las organizaciones.
Los equipos de TI conocen bien las amenazas y vulnerabilidades, y suelen contar con estrategias de seguridad implementadas. Por su parte, los ejecutivos de negocios tienen una buena comprensión del panorama general de la empresa y las áreas en las que deben invertir, pero tal vez no comprenden los matices en relación con la seguridad cibernética. Como los líderes empresariales son legítimamente cautelosos al riesgo, no es extraño que se muestren reacios a la hora de gastar más en la protección de la organización, si creen que es poco probable que se produzca un ataque. Con todo, la avalancha de titulares sobre ataques de ransomware e interrupciones en los servicios demuestra que no se trata de si una organización será atacada o no, sino de cuántas veces.
¿Qué es la resiliencia de datos?
La resiliencia de datos es la póliza de seguro definitiva, la capacidad de una organización para recuperarse de interrupciones, ataques u otras fallas en los datos. Se trata del componente más importante de cualquier estrategia de modernización, e incluye los siguientes pilares:
Respaldo y recuperación de datos: son la base de la resiliencia de datos, garantizando que los datos se puedan restaurar con rapidez en caso de alguna emergencia.
Libertad de datos: significa que, sin importar dónde estén los datos, se mantendrán seguros independientemente del entorno.
Seguridad de datos: los firewalls, el antivirus y la detección de intrusiones son necesarios para la resiliencia de datos, actuando como la primera línea de defensa contra posibles atacantes. Ninguno de estos elementos será importante si no se prueba y mantiene con regularidad; contar con sistemas y una estrategia actualizados mediante pruebas de respaldo y ejecución de simulaciones es crucial.
Inteligencia de datos: brinda información clave sobre su entorno, tomando ventaja de la IA para detectar automáticamente malware y ransomware, y deteniéndolos antes de que se produzca un desastre.
Cuando las empresas se enfocan en recuperarse para regresar a como estaban antes del ataque, minimizan el riesgo de perder datos importantes, reducen tiempos y están listas para volver a ayudar ágilmente a los clientes con un mínimo tiempo de inactividad. Sin resiliencia de datos, en cambio, los negocios están expuestos a la pérdida de datos, ataques de ransomware, archivos corruptos, fallas de software, desastres naturales y errores humanos. Si la organización planifica para la pérdida y se prepara para la interrupción, estará preparada incluso para los peores escenarios posibles.
¿Por qué empezar desde arriba?
De nuestro reciente Informe de Tendencias de Ransomware 2024 destaca que, en caso de un ataque de ransomware, el 48% de los datos no serían recuperables. La alineación entre la alta dirección y el área de TI es el paso más crítico para adoptar una estrategia de resiliencia de datos. Más de la mitad de las empresas creen que, para que sus equipos de respaldo y ciberseguridad estén alineados, hace falta una “mejora significativa” o una “revisión completa”. Si esto ocurre dentro de TI, no es raro que la alta dirección esté igualmente desconectada de la necesidad de la resiliencia de datos. Al sentarse juntos y crear un enfoque conjunto para lograr la resiliencia de datos, la alta dirección y el staff de TI rompen la mentalidad de “nosotros contra ellos” y de “no es mi problema”.
Los equipos de TI saben cómo proteger su organización, pero sigue habiendo agujeros frecuentes en la infraestructura tecnológica. Todo se reduce a obtener recursos críticos para la misión. Estos equipos necesitan acceso a las personas y recursos precisos para modernizar sus sistemas y crear una organización verdaderamente resistente a los datos. Esos recursos requieren un presupuesto sustancial y no basta con llegar a la mitad del camino.
La clave está en abrir la “caja negra” de TI para los altos ejecutivos, desglosar todo en términos básicos y comunicar el valor de negocio real de la resiliencia de datos, alejándose de la jerga y adoptando un enfoque más accesible para explicar la seguridad e infraestructura. Compare, por ejemplo, la pérdida financiera de 24 horas de inactividad con sólo una hora de inactividad. Con una estrategia de resiliencia de datos implementada, TI puede presionar un botón y reestablecer los datos de la empresa a antes del ataque o interrupción; ello significa volver a estar online y operando en un abrir y cerrar de ojos, de modo que los negocios puedan centrarse al instante en los clientes y determinar qué salió mal.
Ahora bien, al buscar la resiliencia de datos, el “sí” del equipo ejecutivo puede cambiar por completo el destino de un negocio cuando sucede algún ataque o interrupción en el servicio. Sin su aceptación, los esfuerzos de modernización de TI corren el riesgo de quedar a medias. Modernizar sólo ciertos aspectos con los que la alta dirección está más familiarizada (como la seguridad) parece una medida inteligente para reducir costos, pero en realidad es una falacia: dejar de lado una parte de TI expone a las empresas a un gran riesgo y crea vulnerabilidades innecesarias en caso de un ciberataque. Esto es igual a más clientes afectados, más tiempo de inactividad, pérdida de dinero y consecuencias duraderas.
La resiliencia de datos no es un tema exclusivo de TI o de las áreas de negocio. En una organización saludable, es un problema de todos. Además, los ejecutivos tienen muchas razones para sumarse a la resiliencia de datos: con esta iniciativa de reducción masiva de riesgos protegen a la empresa y a los clientes mucho antes de que aparezca cualquier tipo de ataque, y salvaguardan los datos, el activo más importante de las organizaciones modernas.
En nuestro mundo interconectado, las compañías ya no pueden esconderse: interactúe con su equipo directivo desde el principio y con frecuencia; explíqueles el valor comercial de la resiliencia de datos y la creciente lista de posibles consecuencias para los que no se adapten.
Por Dave Russell, vicepresidente senior y director de Estrategia de Veeam
