El factor humano #ciberamenzas

318 0
Por Víctor Ruiz, fundador de Silikn
Los ciberataques se han incrementado exponencialmente y los daños a las empresas representan pérdidas millonarias y afectaciones graves a la reputación corporativa.
En este entorno ¿qué deberían hacer los empresarios y directivos?¿mantener la calma y continuar? Esa no es ya una opción. La amenaza es demasiado grande, y los vectores subyacentes en los que se transmiten están cambiando demasiado rápido. Para aumentar y mantener su resistencia a los ataques cibernéticos, las empresas deben adoptar una nueva postura: integral, estratégica y persistente. En nuestras asesorías con diferentes compañías de diversas industrias, hemos podido observar cómo se perfila un nuevo enfoque que puede proteger a las empresas contra el riesgo cibernético sin imponer restricciones indebidas a sus negocios.
Incluso después de años de discusión, los ataques continúan e incluso se intensifican. La mayoría de las empresas no comprenden completamente la amenaza y no siempre se preparan tan bien como podrían y, aunque no tenemos todas las respuestas, podemos orientar a los negocios a que puedan definir una estrategia y una postura para hacer frente a las amenazas cibernéticas.
Mientras los piratas informáticos están perfeccionando sus habilidades, los negocios se están volviendo digitales, y eso hace que las empresas sean más vulnerables a los ataques cibernéticos. Los activos que van desde nuevos diseños de productos hasta redes de distribución y datos de clientes ahora están en riesgo. Las cadenas de valor digitales también se están volviendo más complejas, utilizando la simplicidad de una conexión digital para unir a miles de personas, innumerables aplicaciones y múltiples servidores, estaciones de trabajo y otros dispositivos.
Uno de los problemas principales que cometen las empresas es delegar el problema al departamento de sistemas. Muchos altos ejecutivos tratan el ciberriesgo como un problema técnico y lo delegan al departamento de TI. Esta es una reacción natural, dado que la ciberseguridad presenta muchos problemas técnicos. Pero defender un negocio es diferente de proteger servidores. Defender un negocio requiere una idea del valor en riesgo, derivado de las prioridades del negocio; el modelo de negocio y la cadena de valor; y la cultura de riesgo, los roles, las responsabilidades y el gobierno de la empresa. La TI sola no puede abordar la ciberseguridad.
De igual forma, otras compañías intentan tener éxito, suponiendo que la amenaza desaparecerá si persuaden a suficientes hackers de alto perfil para unirse a las filas de la compañía. Pero incluso los mejores piratas informáticos no tienen la oportunidad de anticipar y defenderse de decenas de miles de ataques en millones de dispositivos en una red compleja.
Asimismo, algunas compañías introducen nuevos protocolos de seguridad cibernética y listas de verificación aparentemente cada tercer día. Pero estos esfuerzos a menudo provocan un enfoque indebido en el cumplimiento formal. Incluso cuando todos los elementos de verificación de los directivos a cargo de la seguridad están cubiertos, la empresa puede no ser menos vulnerable a los ataques cibernéticos que antes.
Por lo tanto, se debe hacer énfasis en la estrategia de seguridad. El ciberriesgo es muy similar a cualquier otro riesgo complejo o crítico. Los elementos clave de su gestión incluyen la priorización de amenazas relevantes, la disposición a aceptar algún riesgo y la definición de iniciativas para minimizarlo. Además, las empresas deben establecer una estructura organizativa y un enfoque de gobierno que brinden transparencia y permitan la gestión de riesgos en tiempo real.
En este sentido, los expertos técnicos no pueden resolver el problema sin comprender los requisitos corporativos, comerciales y organizativos subyacentes. Las empresas tienden a invertir en exceso en dispositivos técnicos y a invertir en reducción de complejidad y cobertura constante de toda su cadena de valor, como la gestión de riesgos de proveedores, dando como resultado un sistema ineficiente.
Los datos, la infraestructura, las aplicaciones y las personas están expuestos a diferentes tipos y niveles de amenazas. Crear un registro completo de todos estos activos es tedioso y requiere mucho tiempo. Las empresas deben aprovechar las herramientas automatizadas para catalogar sus activos y así enfocarse mejor en aquellos con mayor riesgo.
Además, la adaptación es fundamental ya que tarde o temprano cada organización se verá afectada por un ciberataque. La organización, los procesos, la TI y los productos de una empresa deben revisarse y ajustarse a medida que evolucionan las amenazas cibernéticas. En particular, las empresas deben ajustar las estructuras y procesos de continuidad del negocio y gestión de crisis para cumplir con los cambios en el nivel de amenaza.
A medida que las empresas cambien hacia una postura más estratégica, se debe prestar especial atención a las personas que lo harán posible. En última instancia, ganar la guerra contra el ciberriesgo es equivalente a ganar la guerra por el talento. Las funciones de ciberseguridad deben atraer, retener y desarrollar personas que sean ágiles, innovadoras y de mente abierta. No importa cuán refinada sea la tecnología, es el factor humano el que ganará la guerra.

Related Post