A raíz de los ataques globales de alto nivel de ransomware como WannaCry y Petya, BT y KPMG publicaron un nuevo informe de seguridad informática que ofrece consejos prácticos a empresas y organizaciones de todos los tamaños sobre la mejor manera de gestionar su estrategia de seguridad y convertirla en una oportunidad de negocio.
El nuevo informe, titulado El camino de la seguridad cibernética: desde la negación a la oportunidad, aporta sugerencias para evitar trampas peligrosas en el camino hacia una empresa digital, tales como estar atrapados en las fases de “negación” y “preocupación” en un extremo del espectro, y “confianza falsa” y “lecciones duras” en el otro extremo.
Si bien el informe destaca que la inversión en tecnología –como los firewalls y la protección antivirus– es una práctica esencial de “buena administración” al inicio del viaje de seguridad, las empresas deberían evitar tirar dinero en productos de seguridad de TI como una reacción directa.
Esto es especialmente útil para las empresas que han madurado desde la etapa de “negación” a la etapa de “preocupación” constante, donde invertir en la última tecnología puede ser visto como la bala de plata para el problema.
Este error común puede hacer que las empresas se conviertan en un objetivo, no sólo para los delincuentes cibernéticos, sino también para los proveedores de TI demasiado entusiastas.
¿Por dónde comenzar?
Las empresas deben primero evaluar sus controles actuales y compararlos con las mejores prácticas –como los contenidos en la guía del Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC)– para ayudarles a identificar brechas y priorizar áreas esenciales en las cuales invertir.
Además, todos los miembros de la organización, desde la junta directiva, deben asumir la responsabilidad de mantener altos estándares de ciberseguridad, mientras que las empresas deben invertir en capacitación y sensibilización del personal. Esto puede ayudar a convertir a los empleados desde el punto más débil de cualquier cadena de seguridad en el mayor activo de cada empresa en la lucha por proteger los datos.
“La escala global de los recientes ataques de ransomware mostró la asombrosa velocidad a la que, incluso los ataques más sofisticados, pueden extenderse por todo el mundo”, aseveró Mark Hughes, director ejecutivo de BT Security.
Agregó que muchas organizaciones podrían haber evitado estos ataques manteniendo mejores estándares de ciberseguridad. “Estos incidentes globales nos recuerdan que todos los negocios actuales –desde el comerciante más pequeño hasta las pymes y las grandes corporaciones multinacionales– deben lidiar con la gestión de seguridad TI, así como de su personal. Este informe tiene como objetivo acompañar a la empresa digital en su viaje hacia la seguridad cibernética”.
Por su parte, David Ferbrache, director técnico de la práctica de Ciberseguridad de KPMG resaltó que ante reciente oleada de ciberataques, la comunidad empresarial debe tener presente que la seguridad TI es un viaje y no existe una “talla única” para resolver todos los problemas.
“Las amenazas cibernéticas están evolucionando y las empresas se enfrentan a criminales despiadados. La solución no es concebir a la tecnología como una bala de plata, sino que implica un esfuerzo comunitario en un mundo donde los límites de los negocios están desapareciendo. Con criminales cada vez son más creativos para encontrar el eslabón más débil. Ante ello, los CISO del futuro requieren ayudar a la empresa para que aprovechen las oportunidades y construyan la ‘resiliencia cibernética'”, señaló Ferbrache.
Un tema para discutir en las juntas de Consejo
Aunque las cuestiones de ciberseguridad se discuten cada vez más a nivel de consejo directivo, el informe afirma que esas discusiones son demasiado infrecuentes y se tratan como una cuestión separada y desconectada del riesgo operativo más amplio.
Con demasiada frecuencia, la cuestión de la seguridad cibernética no se incorpora a la estrategia empresarial global.
El informe también sostiene que una arquitectura de TI “excesivamente compleja” puede empeorar las brechas de seguridad, sobre todo si la tecnología desplegada es demasiado difícil de usar o existe una falta de integración.
Con el fin de abordar estos riesgos y obtener un verdadero liderazgo en seguridad cibernética, el informe sugiere a las empresas enfocarse en los procesos de buena gobernanza, la integración adecuada de las tecnologías y considerar la externalización de algunos aspectos menos críticos de su seguridad a un socio de confianza. Esto, combinado con el intercambio de inteligencia y buenas prácticas, pondría a la compañía en una posición para pensar en la ciberseguridad de manera diferente: no como un riesgo que es discutido por el consejo quizá dos veces al año, sino como una oportunidad de negocio y facilitador para la transformación digital.
Para consultar el informe completo puede hacer clic aquí.