19/01/2022 - General
Publicado por: Redacción SC Inova.
Un comportamiento común en las empresas y organizaciones que tienen datos que, si se ven comprometidos, pueden generar daños financieros o reputacionales es que, cuando se enteran de un ciberataque, se apresuran a implementar cambios internos o adquirir soluciones "milagrosas" que prometen minimizar los daños de un eventual ransomware. Esto puede ser mejor que no tomar ninguna acción, pero está lejos del comportamiento ideal y esperado de quienes tienen la tecnología como una herramienta indispensable para su trabajo.
Esta actitud fue confirmada por dos estudios recientes que, analizados en conjunto, dan una dimensión del tamaño del problema: los Brasil es el quinto mayor objetivo mundial de ataques hackers a las empresas, según la consultora Roland Berger. Para Deloitte, el 90% de las empresas que han sufrido ataques digitales han realizado inversiones en seguridad después de ser atacadas.
La actitud de “apagar incendios” no es la más adecuada y se puede entender por hechos muy simples: no evita que se produzcan daños. Cuando se toman medidas, los datos ya están en manos de los ciberdelincuentes y, en algunos casos, la única salida es pagar el rescate de la información. Además, el impacto económico de una actuación de emergencia tiende a ser mucho mayor que si se realizaran periódicamente inversiones preventivas en actuaciones educativas y destinadas a la protección de datos y aplicaciones.
Pero todavía hay otros escenarios que no se consideran ideales pero que no son raros en el entorno empresarial brasileño, como la implementación de medidas después de la entrada en vigor de la Ley General de Protección de Datos (LGPD). Para el especialista en almacenamiento en la nube Marcos Stefano, director ejecutivo de Armazém Cloud, “la seguridad cibernética ya que el cumplimiento de una obligación legal puede incluso ayudar en situaciones muy concretas, pero acaba enmascarando la magnitud del problema inminente y engañando a los empresarios, que se creen protegidos”.
Según la investigación la Seguridad Cibernética Brasil 2021, elaborado por Embratel y publicado en la edición especial de MIT Technology Review a fin de año, el camino hacia la ciberresiliencia pasa por inversiones de múltiple naturaleza encaminadas a la seguridad digital. Los datos se extrajeron de una serie de entrevistas cualitativas realizadas a 218 empresas de diferentes sectores, desde la agricultura hasta los servicios financieros. En promedio, invirtieron alrededor de BRL 1,7 millones en seguridad en el último año, pero eso no impidió que el 46,4% de ellos tuvieran pérdidas entre BRL 50.000 y BRL 2,9 millones por delitos digitales.
“Es posible que haya faltado una mayor atención a las políticas perennes de difusión de información, capacitación e implementación de una cultura proactiva de minimización de riesgos”, dice Stefano, “pues solo el 7,9% de las empresas entrevistadas afirmó mantener proyectos educativos en la seguridad cibernética. Cuanto más democratizado sea el tema, menos tabú y más fácil será involucrar a todos los empleados”, dice el experto.
ATAQUE DE HACKER A LAS ORGANIZACIONES: NO ES SE PASARÁ, SINO CUÁNDO
Uno de los resultados de la encuesta indica que los CISO (Chief Information Security Officer) y CTOs (Chief Technology Officer) necesitan colaborar con la comprensión de los CEOs (Chief Executive Officer) sobre el valor de invertir en ciberseguridad. Si esto no sucede, será difícil tener un presupuesto realmente expresivo para implementar acciones a largo plazo.
Algunos de los expertos consultados en el ámbito de la encuesta afirman que los directivos y expertos en seguridad digital deberían ser una presencia imprescindible en colectivos como el propio consejo de administración. Para el socio principal de la seguridad cibernética de EY para Brasil y Sudamérica, Demétrio Carrion, no basta con que el profesional asesore. Necesita compartir su conocimiento e informar decisiones sobre riesgos cibernéticos.
La propia consultora EY constató que esto no siempre es una realidad, y el resultado se ve en los números: las empresas que participaron en la encuesta tenían ingresos anuales de, en promedio, US$ 11 mil millones, pero invirtieron en la seguridad cibernética poco menos de US$ 5,3 millones cada uno – lo que corresponde al 0,05%.
Stefano, de Armazém Cloud, dice que los bajos presupuestos para la seguridad de la información generalmente se justifican por la falta de apoyo de los directores ejecutivos. “No siempre la narrativa que en la seguridad cibernética la prevención es mucho más barata que la cura si está bien construida. Necesitamos transmitir el conocimiento directamente, utilizando el mismo lenguaje que los ejecutivos, hacerles ver cuánto dinero costarán las soluciones previas al ataque y qué cantidad se irá a la basura si se produce la acción delictiva. Por no hablar de que, en ocasiones, la mancha reputacional es mucho más grave que la pérdida económica”, explica.
CULTIVAR LA AUDIENCIA INTERNA: ESENCIAL PARA UNA ESTRATEGIA PROACTIVA
La búsqueda Ciberseguridad Brasil 2021 también investigó la naturaleza de los ataques identificados por las organizaciones entrevistadas: el 56% de ellos fueron del tipo phishing y otro 22,6% utilizó técnicas de ingeniería social. Ambas categorías son consideradas por los expertos como riesgos evitables.
La estrategia detrás de este tipo de intento de acción delictiva es obtener información confidencial a través de mensajes falsos, pero estos están diseñados para enganchar al lector y engañarlo para que haga clic en un enlace malicioso. Con el trabajo remoto implementado por numerosas empresas e instituciones a raíz de los cambios provocados por la pandemia, este tipo de contenido puede cobrar más víctimas, especialmente si viene disfrazado como un mensaje del CEO o un compañero de trabajo cuya autenticidad no se puede verificar.
En ese sentido, Stefano advierte sobre la necesidad de un trabajo permanente con todos los empleados de las organizaciones. La idea, según él, no es convertirlos en expertos en seguridad digital, sino hacerlos más atentos a los patrones de “ofertas” que hacen los ciberdelincuentes para que el primer escudo sea una no acción humana.
– Si alguien recibe un mensaje sospechoso y conoce los riesgos que puede causar a los datos de la empresa, clientes o público que se relaciona con la institución, las posibilidades de que esta persona haga clic en cualquier enlace o responda a una solicitud contenida en el mensaje (un call-to-action) son prácticamente inexistentes – dice. Se complementa reforzando la importancia de que los empleados conozcan las herramientas que utilizan y sean vectores positivos de prácticas seguras en el entorno virtual.
Los programas de inversión en capacitación, con el fin de que los usuarios de los sistemas de la empresa sepan qué procesos ejecutar ante una amenaza, hacen aportes relevantes para el mantenimiento de ambientes seguros dentro de las organizaciones. Junto con una rutina de pruebas y simulaciones de riesgo aplicadas periódicamente, conforman un método que contribuye significativamente a la prevención de ataques.
LAS ALIANZAS ESTRATÉGICAS PUEDEN ACELERAR EL PROCESO DE CULTURA
Las acciones implementadas dentro de las organizaciones no deben ser aisladas. La cultura ciberresiliente comienza con la capacitación de los empleados y la definición de medidas de primer nivel, pasa por la disponibilidad de servicios de protección de redes e infraestructura adecuada para evitar la explotación de vulnerabilidades, pero debe extenderse a todos los que se relacionan con el negocio.
Esto implica contratar proveedores que estén en sintonía con el propósito de garantizar la seguridad digital internamente, de manera que no se mantengan “protecciones puntuales”. En otras palabras, todos aquellos que van a trabajar con los datos deben cuidar su seguridad, para que no caigan en malas manos en ningún punto de la cadena.
– Elige proveedores estratégicos, que observe todas las cuestiones de seguridad y comprenda la importancia de las acciones de seguridad es fundamental para garantizar la tranquilidad del trabajo realizado. La computación en la nube y sus diversas capas de protección, combinadas con el servicio brindado por equipos calificados, es una garantía vital a favor de la tranquilidad de las empresas que manejan activos digitales que no pueden perderse, dañarse o utilizarse por delincuentes para extorsionar dinero. dinero – concluye Stefano.
Finalmente, el panorama para los próximos años es, según la consultora Gartner, positivo: para 2024, el 60 % de los CISO se asociarán con ejecutivos de marketing, ventas y finanzas, considerando que se trata de áreas importantes para contribuir a la misión de proteger el negocio. También se espera que para 2025, el 40% de las juntas directivas tengan un comité de ciberseguridad dedicado bajo la supervisión de un miembro calificado. Será un avance importante, considerando que hoy en día, menos del 10% de las instituciones cuentan con algo así.
