La ciberseguridad debe ser parte de la estrategia de negocios #Tecnología

352 0
Por Víctor Ruiz, fundador de Silikn
La ciberseguridad es un aspecto crítico pero a menudo incomprendido de las infraestructuras tecnológicas de las empresas. Las empresas están utilizando todo tipo de tecnologías y técnicas sofisticadas para proteger activos comerciales críticos. Pero el factor más importante en cualquier programa de ciberseguridad es la confianza. Subraya todas las decisiones que toman los ejecutivos sobre herramientas, talento y procesos. Sin embargo la confianza generalmente carece de las iniciativas de ciberseguridad de muchas organizaciones. Los líderes empresariales de alto nivel y la junta pueden ver la ciberseguridad como una prioridad solo cuando ocurre una intrusión, por ejemplo, mientras el director de seguridad y su equipo ven la seguridad como una prioridad cotidiana, ya que incluso las transacciones más rutinarias del sitio web presentan posibles agujeros para ser explotados.
Esta falta de confianza da lugar a mitos comunes sobre la ciberseguridad, por ejemplo, sobre los tipos de amenazas más relevantes, la cantidad de gasto requerida para proteger los datos críticos e incluso sobre qué conjuntos de datos están más en riesgo. Las percepciones se convierten en hechos y los programas de ciberseguridad terminan siendo menos exitosos de lo que podrían ser. Si la incidencia de infracciones ha sido leve, por ejemplo, los líderes empresariales pueden ajustar el presupuesto de seguridad cibernética hasta que el CIO u otros líderes de seguridad cibernética demuestren la necesidad de una mayor inversión en controles. Por el contrario, si las amenazas se han documentado con frecuencia, los líderes empresariales pueden decidir reflexivamente gastar de más en nuevas tecnologías sin comprender que existen otras soluciones no técnicas para mantener seguros los datos y otros activos corporativos.
Podemos implantar los mejores antivirus, cortafuegos y otras herramientas de seguridad a nuestro alcance para mejorar la ciberseguridad de nuestra empresa. Podemos establecer políticas internas para tener copias de seguridad y para configurar y administrar nuestros sistemas de forma segura. Pero, estas herramientas y políticas no serán muy útiles si los empleados no siguen una serie de buenas prácticas. Si no están atentos y no conocen qué puede pasar, podrán cometer errores que deriven en incidentes o los delincuentes encontrarán la forma de engañarlos para atacar a nuestra empresa.
Según nuestra experiencia, cuando existe una mayor transparencia sobre los programas de seguridad cibernética de las empresas y la confianza entre los diversos interesados, las empresas obtienen importantes beneficios. Las empresas pueden tomar mejores decisiones sobre sus prioridades de seguridad y planes de respuesta, así como la capacitación e inversiones necesarias para mantener inactivos a los atacantes.
En este sentido, una sólida estrategia de ciberseguridad proporciona una protección diferenciada de los activos más importantes de la compañía, utilizando una colección escalonada de medidas de seguridad. Los líderes empresariales y de ciberseguridad deben trabajar juntos para identificar y proteger los activos corporativos más valiosos, los que generan el mayor valor para una empresa. Pueden inventariar y priorizar los activos y luego determinar la fuerza de la protección de ciberseguridad requerida en cada nivel. Al introducir más transparencia en el proceso, el valor del negocio en riesgo y las posibles compensaciones por el costo serían más obvias para todas las partes.
No existe una correlación directa entre el gasto en ciberseguridad  y el éxito del programa de ciberseguridad de una empresa. Algunas compañías que gastan bastante en seguridad cibernética en realidad están rindiendo por debajo del resto del mercado con respecto al desarrollo de la resiliencia digital. En parte, esto se debe a que esas compañías no necesariamente protegían los activos correctos. Como mencionamos anteriormente, las empresas suelen adoptar un enfoque general. Los líderes empresariales y de ciberseguridad deben llegar a una comprensión compartida de los costos y el impacto y desarrollar una estrategia clara para financiar programas de ciberseguridad.
Es cierto que las amenazas externas a la empresa son una gran preocupación para los equipos de seguridad cibernética, pero también existen amenazas importantes dentro de los muros corporativos. Las personas más cercanas a los datos u otros activos corporativos a menudo pueden ser un eslabón débil en el programa de ciberseguridad de una empresa, especialmente cuando comparten contraseñas o archivos a través de redes desprotegidas, hacen clic en hipervínculos maliciosos enviados desde direcciones de correo electrónico desconocidas o actúan de otra manera formas que abren las redes corporativas para atacar. De hecho, las amenazas desde el interior de la empresa representan aproximadamente el 43 por ciento de las violaciones de datos.
Por lo tanto, los líderes empresariales y de ciberseguridad deben colaborar en formas de mejorar la cultura de riesgo interno. Deben educar a los empleados en todos los niveles sobre las realidades de los ataques cibernéticos y las mejores prácticas para defenderse de ellos, por ejemplo, celebrar reuniones en la ciudad, organizar campañas de phishing o organizar presentaciones de juegos de guerra para familiarizar a los empleados con posibles amenazas y crear conciencia. Muchas de estas actividades deberán ser dirigidas por el CIO, el director de seguridad u otros profesionales de la tecnología encargados de administrar los programas de seguridad cibernética. Pero ninguno será fructífero si los líderes empresariales de la empresa no participan plenamente en un diálogo con la función de seguridad cibernética y si las empresas no crean mecanismos explícitos para garantizar que el diálogo continúe a largo plazo. Los líderes empresariales en todos los niveles deben darse cuenta de que en realidad son la primera línea de defensa contra las amenazas cibernéticas, y la seguridad cibernética nunca es responsabilidad exclusiva del departamento de TI.

Related Post