Cuando se trata de ciberataques, la pregunta no debe ser si una organización podría ser blanco de uno, sino de cuándo lo va a ser. La seguridad de las empresas, independientemente de su tamaño o industria, corre el riesgo constante de ser vulnerada.
Y es que la superficie de ataque se amplía continuamente debido a factores como sistemas vulnerables, prácticas de protección ineficientes, el aumento en el uso de dispositivos móviles personales, así como la falta de protocolos para responder a los ataques y la migración a la nube.
Durante la pandemia, los ciberataques repuntaron y esa inercia no se detendrá en 2022. En la región de América, de acuerdo con un reporte de KPMG, un 77% de las empresas considera que los riesgos de ciberseguridad aumentarán durante el año, mientras que sólo el 7% prevé una disminución.
Y son pocas las organizaciones que han implementado una estrategia para defenderse. Se estima que el 56% de las organizaciones no tiene un plan de respuesta a incidentes cibernéticos, y que sólo un 30% cree que su plan es efectivo.
Un incidente de seguridad repercute más allá de las finanzas: la reputación de las organizaciones se pone en riesgo, lo que puede mermar su credibilidad y su permanencia en el mercado, además de que se les pueden imponer altas penalizaciones y enfrentar procesos legales debido a la divulgación de datos sensibles de los clientes, propiedad intelectual y secretos comerciales.
Es por eso que hoy es crítico dejar de considerar a la ciberseguridad únicamente como un centro de costos para darle la dimensión de un habilitador del negocio que se apega a los objetivos empresariales y que engloba, además de los aspectos tecnológicos, al factor humano, el manejo eficiente de información, la protección de datos sensibles y el cumplimiento regulatorio.
Seguridad alineada a la visión del negocio
Protegerse de los ataques y riesgos es una meta que se plantean las organizaciones, aunque deben hacerlo en muchas ocasiones con presupuestos limitados. A esto se suma una escasez de talento especializado en ciberseguridad, el uso de soluciones monolíticas rígidas y que no se tiene la capacidad de reacción para adaptarse a nuevos entornos.
Aun así, deben ser capaces de integrar los recursos necesarios para estructurar una estrategia de ciberseguridad que cubra todos los vectores y que, al mismo tiempo, evolucione y se amplíe a la par de las necesidades del negocio.
Dicha estrategia debe alinear los objetivos de seguridad con la visión y las prioridades empresariales, y buscar siempre proteger la información relativa a la principal actividad de la organización, pues de ello depende su continuidad y crecimiento en el mercado.
Asimismo, es importante reconocer las amenazas dirigidas específicamente hacia ella. Un banco no se protege de la misma forma que una empresa minorista. Un requerimiento es definir qué información tiene un mayor grado de sensibilidad y qué podría hacerla más vulnerable a un ataque para implementar las medidas de control adecuadas.
De este modo, se establecen los mecanismos de detección y respuesta a partir del tipo de ataque y de quién lo podría perpetrar. La respuesta dependerá de si la brecha es provocada por un grupo cibercriminal, hacktivistas o mediante ransomware. Por lo tanto, la gama de amenazas requiere de un plan de protección y reacción adecuado para cada evento.
El factor humano es también un componente clave de una estrategia de ciberseguridad, pues es uno de los vectores de ataque más frágiles.
Es vital capacitar al talento humano sobre protocolos específicos de ciberseguridad y mejores prácticas. En este sentido, TI y el departamento de recursos humanos necesitan colaborar para realizar sesiones informativas y de capacitación que aborden los ataques más comunes como phishing y ransomware, ingeniería social, sitios maliciosos y la conexión de dispositivos personales.
Asimismo, hay que integrar herramientas de protección alojadas en la nube, las cuales ofrecen resiliencia y economías de escala para adaptarse y responder al cambiante panorama de amenazas.
Finalmente, la integración de tecnologías como la analítica, la inteligencia artificial y el machine learning permite anticipar mejor los ciberataques antes de que sucedan, y evitar así cualquier impacto a la reputación y rentabilidad de las organizaciones.
