¿No es irónico? Todos los meses reivindican la concientización sobre la ciberseguridad

by Rob Treacey, Senior Director Professional Services & Head of EMEA Security Practice, Rackspace Technology

Rackspace-Blog-Image-Isnt-It-Ironic-Cybersecurity

El mes pasado, escuché en la radio el clásico tema de Alanis Morrisette, "Ironic". Ahí fue cuando me di cuenta de que el hecho de que octubre, el Mes de la Concientización sobre la Ciberseguridad, haya terminado no significa que ahora que estamos en noviembre podemos relajarnos.

Todos los días y a cada hora, durante los 12 meses del año, cada uno de nosotros toma medidas para garantizar que nuestra vida en línea se mantenga segura y protegida.

Para cada organización, la ciberseguridad implica diferentes cosas, por lo que es esencial definir cómo afectan a la suya las amenazas a la ciberseguridad. Considere cómo evolucionará su organización en el futuro y contemple cualquier riesgo de seguridad nuevo que pueda incorporarse, en especial, a través de las siguientes instancias:

  • El lanzamiento de nuevos productos y servicios.
  • La operación en nuevas ubicaciones.
  • La migración de un ambiente en las instalaciones a un ambiente en la nube.
  • La transición a un ambiente electrónico.
  • La tercerización de servicios.

 

Siete ironías de la ciberseguridad

1. La concientización sobre la ciberseguridad no termina en octubre. Mientras los hackers se aprovechen de las organizaciones las 24 horas del día, los 365 días del año, su empresa tendrá que transformar la capacitación y la concienciación sobre ciberseguridad en tareas continuas, en lugar de mantenerlas como actividades anuales. Cuando la organización le asigna al personal una capacitación anual obligatoria en seguridad de la información, es sabido que la mayoría de las personas solo quiere completar la capacitación para no aparecer en falta en ningún informe de seguimiento de finalización.

Haga que la seguridad sea el “modus operandi“ de su organización, que todos los empleados comprendan la función que cumplen en la protección de los activos de la información y sientan que hacen lo correcto.

 

2. Hacer clic en el enlace. A diario, se nos dice que nunca debemos hacer clic en un enlace sospechoso. Luego, durante el Mes de la Concientización sobre la Ciberseguridad, se nos pide que hagamos clic en enlaces de artículos relacionados con la investigación segura de enlaces sospechosos. (Para obtener más información sobre la ironía número dos, haga clic en el enlace. Ahora que ya gané su atención…).

 

3. Una organización declara que la ciberseguridad es una prioridad y, luego, informa que su presupuesto anual será de US$100. Por supuesto que estoy exagerando, pero usted entiende a lo que me refiero. La ciberseguridad era fundamental antes del COVID-19 y, probablemente, ahora lo sea aún más. En una encuesta de Deloitte de 2020, se descubrió que el gasto está aumentando, pero ¿es proporcional a la necesidad? Aunque en numerosos artículos en Internet se dice que las organizaciones deberían gastar alrededor de entre el 15 % y el 20 % de su presupuesto anual en la seguridad, el gasto promedio oscila entre el 7 % y el 10 %.

La conclusión aquí es que cada empresa es diferente. Su inversión en seguridad debería ser proporcional a los activos que protege. Podría ser una organización pequeña que procesa un volumen significativo de datos personales o de datos de categorías especiales, o podría ser una empresa grande que procesa un volumen relativamente pequeño de datos personales. El objetivo es aspirar a que la inversión sea proporcional a la exposición al riesgo. Si un ataque es capaz de ocasionar un daño irreparable a la reputación, una pérdida significativa de clientes o la falta de compliance regulatorio, es probable que necesite un presupuesto importante para la seguridad. 

 

4. El número de ataques cibernéticos sigue en aumento, y, sin embargo, el CISO aún no forma parte de la mesa directiva. Según una encuesta de Deloitte de 2020 realizada a grandes instituciones financieras, los CISO suelen informar al CIO o CTO de su organización. Dentro de la organización, los CISO son desmerecidos, no participan de la mesa directiva y, además, se los clasifica de forma incorrecta como parte de TI.

La seguridad de la información, con la ciberseguridad como un subgrupo, ha evolucionado y ya no se ocupa solo de manejar los controles de la TI. Ahora es una función comercial integral, y los propietarios de los datos residen dentro de la empresa. Por lo tanto, un CISO debe ser una persona influyente; un pensador estratégico con la capacidad de vincularse con múltiples partes interesadas, como el área de RR. HH.; el área de riesgo y compliance; los jefes de negocio; el área de marketing; los proveedores externos y la gerencia ejecutiva a fin de garantizar que los activos de datos permanezcan protegidos y que las amenazas existentes, nuevas o emergentes se manejen de forma adecuada.

La función del CISO y del equipo más amplio de seguridad es formar a todo el personal. Un CISO debe ser el punto de unión capaz de comunicar los requisitos de seguridad a todos en términos simples.

 

5. La junta directiva de una organización, incluidos sus directores no ejecutivos, declara que tendrá un mayor enfoque en la ciberseguridad y, luego, utiliza direcciones personales de correo electrónico para realizar sus actividades. Lo he visto con demasiada frecuencia: enviar y recibir documentos comerciales confidenciales, incluidas las actas de las reuniones de la junta directiva, desde cuentas personales de Hotmail y Google. Brinde a estos trabajadores fundamentales una cuenta de correo electrónico comercial y asegúrese de que la utilicen. La seguridad comienza por los directivos y desciende a todos los trabajadores. Nadie debe estar exento de cumplir con las políticas y los procedimientos de seguridad.

 

6. Cuando alguien pregunta: “¿Puede proporcionar una solución para detener todos los ataques cibernéticos?“. Solo si puede no estar conectado a Internet. En serio, cuando un cliente pregunta si está completamente protegido contra los ataques cibernéticos, la respuesta es la siguiente: “Si hubiera un producto que protegiera contra cada ataque, todo el mundo lo compraría y, luego, los hackers intentarían evadirlo“.

La ciberseguridad implica un enfoque multifacético y con muchas interpretaciones que cambiará de forma constante. Las empresas siempre deben estar atentas. Si bien no existe una fórmula mágica, su organización puede ayudarse al hacer lo siguiente:

  • Ser proactiva.
  • Incorporar el concepto de seguridad en todo lo que hace y no solo como una idea adicional.
  • Educar al personal y centrarse en la gente, los procesos y la tecnología.  

 

7. Si el objetivo principal de una organización es protegerse de los ataques cibernéticos, sigue operando en un ambiente basado principalmente en papel.  Por ejemplo, una vez trabajé con una organización en la que el interés ejecutivo estaba en torno a la ciberseguridad y, sin embargo, la organización almacenaba abundantes cantidades de registros en papel en un sótano compartido, junto a una habitación llena de contenedores de gas, en gabinetes abiertos y con la mayoría de los registros maestros ubicados en el piso. No solo se trata de los datos electrónicos. También debe proteger sus documentos físicos.

 

¿No es irónico, en el inimitable estilo de las palabras de Alanis, que la ciberseguridad, tanto el “mes“ como la temática, esté plagada de paradojas?

Permítanos que lo ayudemos a transitar por su recorrido hacia la seguridad, a fin de que su empresa pueda seguir avanzando con confianza