La mejor inversión en ciberseguridad que puede hacer es una mejor formación

A medida que se revelan la escala y la complejidad del panorama de las ciberamenazas, también lo hace la falta general de preparación en materia de ciberseguridad en las organizaciones, incluso en las que gastan cientos de millones de dólares en tecnología de última generación. Los inversores que han inundado el mercado de la ciberseguridad en busca del próximo «unicornio» del software aún no se han dado cuenta de que cuando se trata de un riesgo tan complejo como este, no existe una panacea, desde luego, no una que dependa únicamente de la tecnología.

Gastar millones en tecnología de seguridad sin duda puede convertir a un ejecutivo sentir seguro. Pero las principales fuentes de ciberamenazas no son tecnológicas. Se encuentran en el cerebro humano, en forma de curiosidad, ignorancia, apatía y arrogancia. Estas formas humanas de malware pueden estar presentes en cualquier organización y son tan peligrosas como las amenazas lanzadas a través de códigos maliciosos.

Ante cualquier ciberamenaza, la primera y la última línea de defensa son los líderes y los empleados preparados, ya sea que estén dentro de una organización o formen parte de una cadena de suministro interconectada.

Sin embargo, el liderazgo organizacional demuestra con demasiada frecuencia una bajeza tecnológica descarada. Un liderazgo aletargado y desprevenido solo amplifica las consecuencias de una violación de seguridad. La magnitud de la violación de Yahoo divulgado en 2016, combinado con el respuesta torpe, costó a la empresa y a sus accionistas 350 millones de dólares en su fusión con Verizon y casi arruinó todo el acuerdo.

Para prepararse para los ciberataques del futuro y prevenirlos, las empresas deben equilibrar los elementos tecnológicos disuasorios y las trampas con defensas ágiles y centradas en las personas. Estos esfuerzos vigorosos y centrados en las personas deben ir más allá del tan mencionado «tono de arriba», sino que deben incluir un enfoque de liderazgo proactivo con una toma de decisiones más rápida y nítida. A medida que las ciberamenazas crecen de manera exponencial, la gestión integral de los riesgos es ahora una prioridad a nivel de la junta directiva. De hecho, el icónico inversor Warren Buffett resaltado el ciberriesgo como una de las preocupaciones más graves a las que se enfrenta la humanidad durante la reunión anual de Berkshire Hathaway.

Las empresas deben reconocer tres verdades incómodas y reaccionar ante ellas. En primer lugar, el ciberriesgo evoluciona según Ley de Moore. Esa es una de las principales razones por las que las soluciones tecnológicas por sí solas nunca pueden seguir el ritmo de las ciberamenazas dinámicas. En segundo lugar, como ocurre con toda la gestión de amenazas, la defensa es un papel mucho más difícil de desempeñar que el ataque. Los jugadores ofensivos solo necesitan ganar una vez para causar estragos incalculables en una empresa. En tercer lugar, y lo que es peor aún, los atacantes tienen la paciencia y la latencia de su lado. Las tecnologías defensivas, los firewalls y las garantías de una higiene cibernética perfecta pueden llevar a las empresas a un peligroso estado de autocomplacencia.

Este artículo también aparece en:

• 

  Ciberseguridad: la información que necesita de la Harvard Business Review

  Tecnología y operaciones Libro

  22.95

  View Details

El peligro está en pensar que estos riesgos se pueden «gestionar» perfectamente mediante algún tipo de sistema de defensa integral. Es mejor suponer que sus defensas serán violadas y capacitar a su gente sobre lo que debe hacer cuando eso suceda. En lugar de «gestión del riesgo», le proponemos pensar en ello como «agilidad del riesgo». La empresa ágil equipa todos capas organizativas con guías de decisión y límites para establecer los umbrales de tolerancia al riesgo. Todos los empleados no solo deben entender lo que se espera de ellos en relación con la política de la empresa y el comportamiento en Internet, sino que también deben estar capacitados para reconocer las actividades nefastas o sospechosas. El atributo clave, especialmente en lo que respecta al ciberriesgo, es el concepto de sentir algo, hacer algo, lo que convierte a todas las personas de una organización en parte de una «red de seguridad neuronal». Por ejemplo, la defensa contra el Hackeo bancario de SWIFT, que vio algunos 81 millones de dólares ser robado, la lanzó un empleado bancario alerta en Alemania que reconoció un error ortográfico.

Cuando decimos que todos los empleados tienen que ser ágiles en cuanto al riesgo, queremos decir todos. Los ejecutivos de nivel C, los directores del consejo de administración, los accionistas y otros altos directivos no solo deben invertir en la formación de los propios empleados de la empresa, sino también considerar cómo evaluar e informar a las personas ajenas de las que dependen sus empresas: contratistas, consultores y vendedores de sus cadenas de suministro. Estos terceros con acceso a las redes de la empresa han permitido infracciones de alto perfil, entre ellas Objetivo y Home Depot, entre otros.

Un ejecutivo escéptico podría rechazar esta idea —¿no va a costar mucho? El hecho es que la formación en ciberseguridad está muy subcapitalizada y la falta de inversión en programas de cibereducación de calidad se manifiesta en el enorme volumen de infracciones que siguen teniendo su origen en un fracaso humano. Peor aún, el volumen de infracciones está muy poco denunciado, incluso cuando se identifican pronto, porque las empresas se muestran reacias a amplificar el riesgo de reputación. En un Encuesta de 2016 realizado por la revista CSO y la División CERT del Instituto de Ingeniería de Software de la Universidad Carnegie Mellon, los encuestados informaron que personas con información privilegiada fueron la fuente de «el 50% de los incidentes en los que información privada o confidencial quedó expuesta involuntariamente». Las amenazas internas pueden incluir actividades maliciosas, pero también errores de los empleados, como caer en una estafa de suplantación de identidad.

En resumen, será necesaria una cierta inversión para mejorar la preparación del personal. Sin embargo, puede resultar rentable con el tiempo, especialmente si se compara con la implementación de tecnología de ciberseguridad de vanguardia que puede quedar obsoleta. Que quede claro, la tecnología es una pieza fundamental del rompecabezas de la ciberseguridad, pero al igual que ocurre con un coche que contiene la última tecnología de seguridad, la mejor defensa sigue siendo un conductor bien formado.

Además, las empresas que tardan en adoptar medidas de seguridad más estrictas pueden verse obligadas a hacerlo por los reguladores. La última reglamento promulgada por el Departamento de Servicios Financieros del Estado de Nueva York, por ejemplo, exige que las empresas cubiertas «impartan formación periódica sobre ciberseguridad a todo el personal». Esto es solo la punta del iceberg de lo que probablemente venga de otros estados y agencias gubernamentales de todo el mundo, que están armonizando cada vez más su visión de un «zanahorias y palitos» enfoque del cumplimiento de la ciberseguridad.

La inteligencia artificial, el aprendizaje automático y los algoritmos de autoaprendizaje pueden representar las últimas tendencias en las principales inversiones en TI, pero la tecnología existe y es utilizada por personas. Los líderes corporativos harían bien en entender que el futuro de la ciberseguridad no está en un enfoque único o en una herramienta milagrosa, sino en soluciones que reconozcan la importancia de superponer la preparación humana a las defensas tecnológicas.