Administración

La mejor inversión en ciberseguridad que puede hacer es una mejor formación

Astraed

5 min read
La mejor inversión en ciberseguridad que puede hacer es una mejor formación

Resumen.

Gastar millones en tecnología de seguridad sin duda puede hacer que un ejecutivo sentir seguro. Pero las principales fuentes de ciberamenazas no son tecnológicas. Se encuentran en el cerebro humano, en forma de curiosidad, ignorancia, apatía y arrogancia. Con cualquier amenaza cibernética, la primera y última línea de defensa son líderes y empleados preparados, ya sean dentro de una organización o parte de una cadena de suministro interconectada. Para calibrar y mejorar la formación sobre riesgos de los empleados, las empresas deben reconocer y reaccionar ante tres verdades incómodas: en primer lugar, el riesgo cibernético evoluciona de acuerdo con Ley de Moore. Esa es una razón importante por la que las soluciones tecnológicas por sí solas nunca pueden mantenerse al ritmo de las ciberamenazas dinámicas. En segundo lugar, al igual que con toda la gestión de amenazas, la defensa es un papel mucho más difícil de desempeñar que la ofensiva. Los jugadores ofensivos solo necesitan ganar una vez para causar estragos incalculables en una empresa. En tercer lugar, y peor aún, los atacantes tienen el poder de la paciencia y la latencia de su lado. Las empresas pueden ser arrulladas en un peligroso estado de autocomplacencia por sus tecnologías defensivas, cortafuegos y garantías de una higiene cibernética perfecta.

A medida que se revela la escala y la complejidad del panorama de las amenazas cibernéticas, también lo es la falta general de preparación para la ciberseguridad en las organizaciones, incluso aquellas que gastan cientos de millones de dólares en tecnología de vanguardia. Los inversores que han inundado el mercado de la ciberseguridad en busca del próximo software «unicornio» todavía no se han dado cuenta de que cuando se trata de un riesgo tan complejo como éste, no hay panacea — ciertamente no una que dependa sola de la tecnología.

Gastar millones en tecnología de seguridad sin duda puede hacer que un ejecutivo sentir seguro. Pero las principales fuentes de ciberamenazas no son tecnológicas. Se encuentran en el cerebro humano, en forma de curiosidad, ignorancia, apatía y arrogancia. Estas formas humanas de malware pueden estar presentes en cualquier organización y son tan peligrosas como las amenazas enviadas a través de código malicioso.

Con cualquier amenaza cibernética, la primera y última línea de defensa son líderes y empleados preparados, ya sean dentro de una organización o parte de una cadena de suministro interconectada.

Y, sin embargo, el liderazgo organizacional con demasiada frecuencia demuestra la turpiedad tecnológica absoluta. Un liderazgo no preparado y letárgico sólo amplifica las consecuencias de una violación de la seguridad. La escala de la brecha de Yahoo divulgado en 2016, combinado con el respuesta a tientas, el costo de la empresa y sus accionistas $350 millones en su fusión con Verizon y casi arruinó todo el acuerdo.

Para prepararse y prevenir los ciberataques del futuro, las empresas necesitan equilibrar los elementos disuasivos tecnológicos y los cables de trampa con defensas ágiles y centradas en el ser humano. Estos esfuerzos enérgicos y centrados en las personas deben ir más allá del «tono en la parte superior», a menudo discutido: deben incluir un enfoque proactivo de liderazgo con una toma de decisiones más rápida y precisa. A medida que las amenazas cibernéticas crecen exponencialmente, la gestión integral de riesgos es ahora una prioridad a nivel de placa. De hecho, el inversor icónico Warren Buffett resaltado el riesgo cibernético como una de las preocupaciones más graves que enfrenta la humanidad durante la reunión anual de Berkshire Hathaway.

Las empresas deben reconocer y reaccionar ante tres verdades incómodas. En primer lugar, el riesgo cibernético evoluciona de acuerdo con Ley de Moore. Esa es una razón importante por la que las soluciones tecnológicas por sí solas nunca pueden mantenerse al ritmo de las amenazas cibernéticas dinámicas. En segundo lugar, al igual que con toda la gestión de amenazas, la defensa es un papel mucho más difícil de desempeñar que la ofensiva. Los jugadores ofensivos solo necesitan ganar una vez para causar estragos incalculables en una empresa. En tercer lugar, y peor aún, los atacantes tienen paciencia y latencia de su lado. Las empresas pueden ser arrulladas en un peligroso estado de autocomplacencia por sus tecnologías defensivas, cortafuegos y garantías de una higiene cibernética perfecta.

El peligro radica en pensar que estos riesgos pueden ser perfectamente «gestionados» a través de algún tipo de sistema de defensa integral. Es mejor suponer que tus defensas serán violadas y entrenar a tu gente en qué hacer cuando eso ocurra. En lugar de «gestión de riesgos», proponemos pensarlo como «agilidad del riesgo». La empresa ágil equipa todos con directrices para la adopción de decisiones y límites para establecer umbrales de tolerancia al riesgo. Todos los empleados no sólo deben entender lo que se espera de ellos con respecto a la política de la empresa y el comportamiento en línea, sino también ser entrenados para reconocer actividades nefastas o sospechosas. El atributo clave, especialmente cuando se relaciona con el riesgo cibernético, es el concepto de sentir algo, hacer algo, que hace que todas las personas de una organización sean parte de una «red de seguridad neuronal». Por ejemplo, la defensa contra Hack bancario SWIFT, que vio algunos $81 millones ser robado, fue lanzado por un empleado bancario alerta en Alemania que reconoció un error ortográfico.

Cuando decimos que todos los empleados tienen que ser ágiles al riesgo, nos referimos a todos. Los ejecutivos de nivel C, los directores de la junta directiva, los accionistas y otros líderes sénior no solo deben invertir en capacitación para los propios empleados de su empresa, sino también considerar cómo evaluar e informar a los extranjeros de los que dependen sus negocios: contratistas, consultores y proveedores en sus cadenas de suministro. Tales terceros con acceso a redes de empresas han permitido infracciones de alto perfil, entre ellas Objetivo y Home Depot, entre otros.

Un ejecutivo escéptico podría retroceder en esta idea...¿Eso no costará mucho? El hecho es que la capacitación en ciberseguridad está muy poco capitalizada, y la falta de inversión en programas de educación cibernética de calidad se manifiesta en el enorme volumen de violaciones que continúan arraigadas en el fracaso humano. Peor aún, el volumen de infracciones es lamentablemente insuficiente, incluso cuando se identifican a tiempo porque las empresas son reacias a ampliar el riesgo de reputación. En un Encuesta de 2016 llevada a cabo por la revista CSO y la División CERT del Instituto de Ingeniería de Software de la Universidad Carnegie Mellon, los encuestados informaron que los expertos fueron la fuente de «50% de los incidentes en los que información privada o sensible fue expuesta involuntariamente». Las amenazas internas pueden incluir actividades maliciosas, pero también errores cometidos por los empleados, como caer en una estafa de phishing.

En resumen, se requerirá cierta inversión para mejorar la preparación del personal. Pero puede ser rentable con el tiempo, especialmente si se compara con la implementación de tecnología de ciberseguridad puntera que puede quedar obsoleta. Para ser claros, la tecnología es una pieza fundamental del rompecabezas de ciberseguridad, pero al igual que con un automóvil que contiene toda la tecnología de seguridad más avanzada, la mejor defensa sigue siendo un conductor bien entrenado.

Además, las empresas tardan en adoptar medidas de seguridad más estrictas pueden verse empujadas por los reguladores. La última regulaciones promulgada por el Departamento de Servicios Financieros del Estado de Nueva York, por ejemplo, exige que las empresas abarcadas «impartan periódicamente capacitación sobre seguridad cibernética a todo el personal». Esta es sólo la punta del iceberg de lo que probablemente provendrá de otros estados y agencias gubernamentales de todo el mundo, que están armonizando cada vez más su visión de una «zanahorias y palos» enfoque para el cumplimiento de la ciberseguridad.

La inteligencia artificial, el aprendizaje automático y los algoritmos autodidácticos pueden representar las últimas tendencias en inversiones en IT, pero la tecnología existe y es utilizada por gente. Los líderes corporativos serían prudentes al entender que el futuro de la ciberseguridad no radica en un enfoque único o en una herramienta milagrosa, sino en soluciones que reconocen la importancia de poner la disposición humana encima de las defensas tecnológicas.

Escrito por Dante Disparte Dante Disparte Chris Furlow

Read more