Una buena ciberseguridad no trata de prevenir todos los ataques

Hablo de ciberseguridad con cientos de ejecutivos cada año. El mayor error que veo es que las empresas tratan la ciberseguridad únicamente como un asunto tecnológico que deben resolver los departamentos de TI. Pero no lo es. Es una oportunidad para toda la empresa que es de vital importancia.

Si el objetivo final es impedir que suceda algo malo, las empresas suelen perder tiempo y dinero en inútiles intentos de construir un muro de sistemas impenetrable. Incluso si fuera posible construir un muro que fuera 100% seguro, no ayudaría a proteger la cantidad cada vez mayor de datos confidenciales que fluyen fuera del firewall a través de dispositivos y sistemas que escapan al control directo de la empresa.

Es mucho más importante centrarse en dos cosas: identificar y proteger los ciberactivos de importancia estratégica de la empresa y averiguar de antemano cómo mitigar los daños cuando se producen los ataques.

Elija qué áreas proteger

Vivimos en un mundo en el que cada vez hay más productos conectados a Internet, no solo ordenadores y teléfonos, sino también electrodomésticos, sistemas de alarma y abre-puertas de garaje. Lo sepan o no, los clientes comparten enormes cantidades de datos personales y de uso del dispositivo cada vez que activan un producto o utilizan un servicio.

Las empresas a las que se han confiado estos datos deben reconocer que la ciberseguridad y la protección de datos ya no son solo riesgos de TI, sino riesgos empresariales estratégicos del más alto nivel. La reputación, las marcas y los ingresos están en juego. En cierto modo, los directores ejecutivos lo saben. Según nuestro «Perspectivas del CEO» estudio, la ciberseguridad es el riesgo más importante en la mente de los directores ejecutivos en este momento. Pero aunque los ejecutivos parecen entender que la estrategia en sí misma es una serie de decisiones (sobre en qué se destacará su empresa y en qué no tiene sentido competir), adoptan un enfoque de mantequilla de cacahuete con respecto a la ciberseguridad y lo distribuyen de manera uniforme en toda la empresa.

Por eso hago hincapié en el valor de un marco de gestión del ciberriesgo que comience por centrarse en los factores empresariales que impulsan el crecimiento y la rentabilidad y termine en la infraestructura tecnológica. Es lo opuesto al enfoque tradicional, pero es mucho más eficaz. Las inversiones en ciberseguridad no pueden tratarse por igual; algunas son simplemente más importantes que otras.

Por ejemplo, hace poco me enteré de que el director de seguridad (CSO) de una gran compañía de seguros dedicaba gran parte de su tiempo y millones de dólares a proteger la red de concesionarios de la empresa, un grupo dispar de miles de corredores que tienen una relación directa con los asegurados. Los corredores no son empleados de la compañía de seguros y los sistemas que utilizan estos corredores no están controlados por la compañía, a pesar de que recopilan y procesan los datos de los clientes. Este es un verdadero dilema al que se enfrentan muchos especialistas en seguridad de TI: ¿Cómo puedo proteger algo que no está en mi entorno pero que puede afectar a la marca y a la confianza que nuestros clientes depositan en nosotros?

Lo que el CSO no sabía en ese momento era que su empresa tenía previsto cambiar su modelo de negocio y esperaba desmantelar su red de concesionarios en los próximos dos años, lo que significa que gran parte de lo que había estado haciendo pronto podría ser irrelevante. Las empresas que pueden hablar de los próximos cambios y planificarlos con antelación pueden crear estrategias de ciberseguridad adaptables, ágiles y eficaces.

Aunque casi uno de cada cinco directores ejecutivos informó en la encuesta de KPMG que no se siente cómodo con el grado en que mitigar el ciberriesgo se ha convertido en parte de sus responsabilidades, una de sus principales prioridades debería ser impulsar una mayor alineación entre sus unidades de negocio y la TI de la que existe normalmente en la actualidad.

Como en cualquier estrategia de gestión de riesgos, los ejecutivos deben analizar toda la organización y evaluar los activos de ciberseguridad de la empresa, incluidas las inversiones en sistemas tecnológicos y en profesionales altamente cualificados para gestionarlos. Asegúrese de que estas inversiones se alinean tanto con las necesidades actuales de la empresa como con la evolución de su modelo de negocio en los próximos tres a cinco años.

Prepárese para ser violado

Una vez identificados los principales riesgos para las «joyas de la corona» de la organización y los procesos empresariales, es importante tomar decisiones informadas y responsables desde el punto de vista fiscal sobre cuáles se pueden fijar y cuáles se pueden supervisar de cerca de forma continua. Si bien es difícil pensarlo, lo más probable es que sus defensas se infrinjan en algún momento y es mejor tener un plan para cuando se descubran esas infracciones.

Es absolutamente esencial una formación en ciberseguridad que evolucione continuamente en función de las circunstancias cambiantes y la evolución de las funciones del personal. Todos los empleados deben estar informados sobre las mejores prácticas de ciberseguridad y sobre cómo identificar el software malintencionado o los intentos de suplantación de identidad. Demasiadas empresas no han reconocido la importancia de la formación continua de los empleados.

Realice evaluaciones periódicas del ciberriesgo, centrándose en los datos corporativos y las prioridades empresariales más importantes, y lleve a cabo escenarios de brechas controladas para ver cómo responden la empresa y sus empleados. ¿Cuál es la cadena de mando corporativa en caso de un ataque de ciberseguridad? ¿Cómo se comunicará con los medios de comunicación y sus clientes?

UN encuesta que realizamos recientemente sugiere que este tipo de planificación de contingencia no se lleva a cabo en muchas empresas. De hecho, ni siquiera se financia: casi un tercio (el 31%) de los ejecutivos informaron que sus empresas no tenían ningún líder designado que se centrara únicamente en la ciberseguridad, mientras que el 49% informó que no había invertido fondos en seguridad de la información durante el último año.

El hecho de que veamos que tantas empresas no invierten en ciberprotecciones y no designen a un líder en ciberseguridad sugiere que, aunque los problemas de ciberseguridad son lo más importante, en muchos casos no se abordan adecuadamente.

Los consumidores ven el valor de que las empresas ofrezcan más transparencia, educación y comunicación sobre sus esfuerzos de ciberseguridad y su eficacia. Las empresas que lo hacen con éxito no solo tienen más probabilidades de ganar en el mercado, sino que también son capaces de soportar una brecha de seguridad si se produce.