A raíz de los ataques de ransomware globales de alto perfil como WannaCry y Petya, BT y KPMG han publicado un nuevo informe de ciberseguridad que ofrece consejos prácticos a empresas de todos los tamaños sobre la mejor manera de gestionar su recorrido hacia la seguridad y convertirlo en una oportunidad de negocio.
El nuevo estudio, “El recorrido hacia la seguridad cibernética – de la negación a la oportunidad”, provee recomendaciones a las empresas para que no caigan en trampas peligrosas mientras se ocupan de la complejidad que supone reforzar la seguridad de la empresa digital. Esto incluye el quedarse atrapados en las fases de “negación” y “preocupación” en un extremo del espectro, o la “falsa confianza ” y las “lecciones duras” en el otro extremo.
Si bien el informe hace hincapié en que la inversión en tecnología, como firewalls y protección antivirus, es una práctica esencial de “buena administración” al inicio del recorrido hacia la seguridad, las empresas deberían evitar tirar dinero en productos de seguridad IT como respuesta automática. Es especialmente cierto para aquellas empresas que han madurado desde la etapa de “negación” a la etapa de “preocupación” constante, momento en el que invertir en la última tecnología puede percibirse como una “bala de plata” ante el problema. Este error común puede hacer que las empresas se conviertan en un objetivo, no sólo de los ciberdelincuentes, sino también de vendedores de IT demasiado entusiastas.
Las empresas primero deben evaluar sus actuales controles teniendo en cuenta las mejores prácticas, como la guía emitida por el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC), para ayudarles a identificar las brechas y priorizar las áreas esenciales en las que invertir. Además, todos en la empresa, desde la junta directiva hacia abajo, deben asumir la responsabilidad de mantener estándares altos de ciberseguridad, en tanto que las empresas deben invertir en la formación y sensibilización de los empleados. Esto puede contribuir a que pasen de ser el punto más débil de cualquier cadena de seguridad al mayor activo de la empresa en la lucha por proteger los datos.
Mark Hughes, CEO de BT Security, dijo: “La escala mundial de los recientes ataques de ransomware mostró la sorprendente velocidad a la que, incluso los ataques más sofisticados, pueden propagarse por todo el mundo. Muchas empresas podrían haber evitado estos ataques implementando mejores estándares en ciberseguridad y partiendo de una adecuada base. Estos incidentes globales nos recuerdan que todos los negocios actuales, desde el comerciante individual más pequeño a las pymes y las grandes corporaciones multinacionales, necesitan hacer frente a la gestión de la seguridad IT, así como de sus empleados y procesos. Este informe tiene como objetivo ayudarles a implementar la seguridad de la empresa digital mientras los negocios avanzan rumbo a su ciberseguridad”.
David Ferbrache, director técnico de seguridad cibernética de KPMG, observó: “La reciente oleada de ciberataques está manteniendo el ciberriesgo como algo prioritario en la agenda de las empresas, y como tal, se están realizando inversiones. La comunidad empresarial debe evitar las reacciones precipitadas. La ciberseguridad es un recorrido, una única solución no sirve para todos los problemas, y han de partir de una buena base como los parches y back-ups adecuados. Es importante construir una cultura de seguridad, aumentar la conciencia entre los empleados y recordar que la seguridad ha de capacitar al negocio, no ponerle impedimentos.
“Las ciberamenazas están evolucionando y las empresas se enfrentan a emprendedores criminales despiadados. La solución no es lo comúnmente llamado tecnología de balas de plata, pero implica un esfuerzo de la comunidad en un mundo donde los límites del negocio están desapareciendo. Con delincuentes cada vez más creativos para encontrar el eslabón más débil, los CISO del futuro necesitan preocuparse por el ciberriesgo, ayudar al negocio a aprovechar las oportunidades y construir su resiliencia cibernética”.
Aunque los problemas de ciberseguridad se discuten cada vez más a nivel de junta, el informe reclama que esas discusiones son demasiado infrecuentes y se tratan como una cuestión separada y desconectada de los riesgos operativos. Con demasiada frecuencia, la cuestión de la ciberseguridad no se incorpora a la estrategia general del negocio.
El informe también argumenta que una arquitectura IT excesivamente compleja puede empeorar las brechas de seguridad. Este es el caso especialmente si la tecnología desplegada es demasiado difícil de usar, o existe falta de integración.
Con el fin de abordar estos riesgos y conseguir un verdadero liderazgo en ciberseguridad, el informe pide a las empresas que se centren en los procesos de buen gobierno, la integración adecuada de las tecnologías y en considerar la externalización de algunos aspectos menos críticos de su seguridad a un socio de confianza.
Esto, combinado con el intercambio de inteligencia, las buenas prácticas y las lecciones aprendidas por una red de colaboración mundial, pondrían a la empresa en contexto para pensar en la ciberseguridad de un modo distinto. Es decir, no como un riesgo discutido por el consejo quizás dos veces al año, sino como una oportunidad de negocio, que facilite la transformación digital.