The Cybersecurity Imperative (2/2): cómo alcanzar la excelencia en ciberseguridad

The Cybersecurity Imperative (2/2): cómo alcanzar la excelencia en ciberseguridad

publicado en: Ciberseguridad | 0

El ecosistema digital se complica y, con él, se disparan los ciber riesgos. Ecosistemas abiertos, cadenas de proveedores completamente digitalizadas y tecnologías emergentes impulsan la innovación y el negocio, pero abren la puerta a nuevas ciber amenazas. Entender los ciber riesgos es el primer paso para controlarlos y minimizar su impacto.

El informe The Cybersecurity Imperative, elaborado por The Wall Street Journal con la participación de Willis Towers Watson, analiza el impacto de los ciber riesgos en la continuidad del negocio, la reputación de la compañía o la cuenta de resultados. Y establece una serie de recomendaciones, en base a los datos obtenidos, para que las organizaciones alcancen la excelencia en ciberseguridad.

 

Alinear la madurez digital con la ciberseguridad

SUSCRÍBETE

Una de las principales conclusiones del informe es que la madurez digital de una compañía no siempre se ve acompañada de madurez en ciberseguridad. Es decir, la digitalización no conlleva necesariamente avances en ciberseguridad. De acuerdo con el estudio, más de la mitad de las organizaciones consideradas líderes digitales no contaban con estrategias líderes frente a los ciber riesgos.

“La innovación digital incrementa la complejidad y los riesgos. Por ejemplo, un directivo podría pensar que hoy puede usar servicios en la nube para casi todo. Pero no estaría pensando en los problemas para la continuidad del negocio, la necesidad de un backup o los riesgos de la infraestructura tecnológica heredada”, señala Matthew Johnson, CISO de Willis Towers Watson. Para minimizar riesgos, las organizaciones deberían desarrollar su ciberseguridad al mismo ritmo que la digitalización.

 

Interiorizar los aspectos básicos

Los problemas de ciberseguridad pueden a llegar a ser muy complejos. Sin embargo, una serie de medidas básicas pueden reducir considerablemente los ciber riesgos. Según el informe, las organizaciones deben comenzar por integrar los medidas más básicas. Aunque estas no están oficialmente definidas, se trata de aspectos como:

  • Comprender la estructura de la red y tener bajo control todos los dispositivos y personas que se conectan a ella.
  • Tener siempre los dispositivos actualizados. Buena parte de las vulnerabilidades de software se eliminan si se instalan las actualizaciones de seguridad del fabricante.
  • Reforzar la concienciación de usuarios y empleados. El elemento humano sigue siendo el eslabón más débil de la cadena de la ciberseguridad.
  • Establecer medidas para encriptar los datos y asegurar los dispositivos para reducir los riesgos por robo de información.

La ciberseguridad debe pasar a ser una prioridad en todo momento y en todos los departamentos

 

Priorizar la ciberseguridad en toda la plantilla

De acuerdo con el informe, muchas organizaciones todavía limitan su estrategia de ciberseguridad a los departamentos técnicos. Al mismo tiempo, la mayoría son conscientes de que la baja concienciación y formación de la plantilla entrañan graves riesgos. Por ello, la ciberseguridad debe pasar a ser una prioridad en todo momento y en todos los departamentos. Un archivo malicioso adjunto en un mensaje de atención al cliente o un email de phishing al departamento de ventas puede poner en jaque a toda la organización.

 

Implicar a la directiva

Al igual que sucede con el resto de la plantilla, los miembros de la directiva no tienen por qué ser expertos en ciberseguridad. Sin embargo, deben ser capaces de entender los ciber riesgos y el impacto potencial en el negocio. En aquellos sectores en los que los riesgos cibernéticos sean más elevados, sí es aconsejable contar con un directivo experto en seguridad, como el CISO. Además, la comunicación entre expertos y no expertos debe ser fluida.

“Uno de los grandes desafíos que tenemos los profesionales de la ciberseguridad es que hablamos en un idioma diferente. Solemos tener dificultades para expresar los ciber riesgos en términos de negocio”, explica Matthew Johnson, CISO de Willis Towers Watson. “Tenemos que aprender a llevar el debate a un lenguaje de negocio. Por ejemplo, en lugar de decir, si no hacemos esto, no cumpliremos con la regulación, debemos decir, si hacemos esto, se reducirá el time-to-market para nuevos productos”.

 

Ciberseguridad en la base de todos los procesos

Las compañías deben prepararse para los ciber ataques y las interrupciones en el negocio mediante ejercicios, practicando tanto a nivel ejecutivo como en la plantilla

Las preocupaciones por los ciber riesgos no deben llegar una vez que se ha diseñado un servicio o se está a punto de lanzar un nuevo producto. La seguridad debe estar en el centro de todos los procesos para evitar retrasos y sobrecostes inesperados. Para ello, los expertos en ciberseguridad deben pasar a formar parte del debate y de los procesos de negocio lo antes posible.

 

La práctica de la resistencia

El término resilience se usa, de forma general, para definir la capacidad de resistencia de una organización ante imprevistos y la flexibilidad para recuperar la operatividad tras un incidente. Esto se aplica a cualquier tipo de riesgo, desde fraudes hasta problemas con la reputación de la compañía. De acuerdo con el informe, pocas organizaciones dedican los recursos suficientes a asegurar que son capaces de resistir una caída del sistema o un ataque por ransomware como WannaCry.

“Las compañías deben prepararse para los ciber ataques y las interrupciones en el negocio mediante ejercicios, practicando tanto a nivel ejecutivo como en la plantilla”, señala el informe The Cybersecurity Imperative. Esto es especialmente importante en empresas pequeñas y medianas. Estas no suelen tener el mismo acceso a expertos en ciberseguridad que las grandes, pero pueden sufrir daños desproporcionadamente grandes.

 

El impacto de la inversión

La inversión en ciberseguridad es clave para protegerse de los ataques y minimizar los riesgos. Sin embargo, los costes de estas medidas pueden ser elevados, por lo que los gastos deben hacerse de forma estratégica. Adquirir la última solución tecnológica puede ser importante, pero también lo es contar con una plantilla preparada y fichar a un equipo de ciberseguridad competente.

Por otro lado, se debe encontrar un equilibrio entre el gasto en medidas preventivas y la inversión en herramientas correctivas. Descuidar uno de los dos aspectos puede disparar los riesgos. En definitiva, la clave para el éxito y alcanzar la excelencia en ciberseguridad es una estrategia bien construida, que tenga claras las prioridades y que contemple desde el presupuesto hasta la comunicación entre departamentos, pasando por la implementación de medidas básicas y la concienciación de toda la plantilla.

 

New Call-to-action

 

Comparte

Dejar una opinión