Cuando nos consultan a la Fundación Capa8 sobre los desafíos de la ciberseguridad y la seguridad de la información, solemos explicar que el panorama es de un gran trabajo a desarrollar, con mucha concientización y con el deber de realizar un necesario nuevo ordenamiento de prioridades, acompañadas de inversión y generación de recursos humanos.
Sabemos que las tareas de los encargados de proteger los activos cibernéticos no es nada fácil. En el caso de las empresas, como en los organismos públicos, se trata de un delicado equilibrio entre poder, tener y hacer.
Si bien este comentario no necesariamente suele abarcar a todas las organizaciones, comprende a la gran mayoría de ellas. Sin discriminar tamaño ni ubicación geográfica, lo cual da origen a la cantidad de incidentes y ataques que se manifiestan a la fecha.
Ciberseguridad: primer eje, poder
Con el poder nos referimos a las capacidades regulatorias (o de políticas internas), preventivas y sancionadoras, incluyendo redefiniciones de procesos y procedimientos, que permitan al área de ciberseguridad regir sobre la superficie informática que deben proteger, incluyendo a las áreas de TI.
En la Fundación Capa8 venimos trabajando sobre este punto en las áreas de los decisores políticos de las organizaciones. Pero considerando que tienen que ser los usuarios de todos los niveles los que deben recibir instrucción de cuáles son las normas que han de respetar para generar un ecosistema seguro en torno a la información que ellos producen, procesan, generan o acceden.
En estos casos, la necesidad de concientización viene acompañada de la implementación de ejercicios que no siempre abarcan todos los niveles de la organización, quedándose, en muchos de los casos, solo en la base de la pirámide.
Los objetivos (víctimas) más preciados son la alta jerarquía o gerencia, áreas de compras, contrataciones, etc., que no suelen participar en estas prácticas y ejercicios de ciberseguridad, por lo que, sumado a las rotaciones y al trabajo remoto, brindan oportunidades de vulneración que, periódicamente, son aprovechadas por los delincuentes.
Es imprescindible trabajar en un proyecto que propenda no solo a la prevención, sino también a la resiliencia
Surge de nuestra experiencia en Capa8 que, según declaran muchas organizaciones que ya fueron víctimas de BEC/EAC, ransomware y otros incidentes, estas amenazas, en su mayoría, no son detectadas o detenidas hasta que alguna logra su objetivo, por lo que ya fue vulnerada la protección y solo queda la contención y remediación del incidente.
La adopción de estándares y buenas prácticas dentro de las organizaciones, la carencia de hardening humano, cuando no son mandatorias de su vertical de trabajo –como el sector bancario o energético, por citar algunos ejemplos–, quedan relegadas a ser un punto de marketing o desistidas por verlas como un gasto y no como una inversión.
Estas adopciones, si bien no son una garantía de nada, nos ayudan a reducir la superficie de impacto y conocer los riesgos que pueden estar presentes para ir camino a una resiliencia que parece desearse, pero no construirse.
En ocasiones esto es debido al desconocimiento de los decisores sobre la temática y, a veces, por una evaluación de costo/beneficio donde la pérdida económica y de imagen que un incidente puede acarrear termina siendo una pérdida aceptable o una pérdida que ya fue considerada en el ejercicio económico del período y pudiendo transferirse a su cobertura de seguros, quien cubrirá los costos ocasionados por la falta de la inversión en forma preventiva.
¡Sigue leyendo!
Si deseas leer el artículo completo de Pedro Janices y conocer todos los ejes que plantea el autor, lo encontrarás en el número 18 de la revista Segurilatam.