Ciberseguridad, una estrategia que no puede planearse a la ligera.
Es conocido que los ciberataques se han convertido ya desde hace algunos años en grandes y frecuentes amenazas para muchas empresas. Existen impactantes cifras que nos demuestran que éstos no sólo afectan a grandes corporativos, sino a todo tipo de empresas de cualquier sector. Algunas firmas importantes de investigación como Ponemon Institute y medios como Computer World nos hablan de que más del 43% de los ciberataques afectan a pequeños negocios, y cerca de 230,000 nuevos malware son producidos cada día dejándonos cifras nada alentadoras como que cada ataque puede provocar una perdida de hasta $5 millones de dólares para la empresa.
A pesar de existir gran información en el mercado sobre estos hechos, la realidad es que son muy pocas las organizaciones que combaten o previenen efectivamente amenazas cibernéticas, poniendo en riesgo no sólo la integridad de su información sino su credibilidad, y ésto en gran medida se deriva de una mala toma de decisiones o bien de no haber realizado las acciones pertinentes a tiempo. Datos proporcionados por la consultora internacional Oliver Wyman nos dicen que tan sólo un tercio de las organizaciones a nivel mundial cuentan con una adecuada y completa estrategia de ciberseguridad, pues la gran mayoría, son empresas que hasta el momento han tomado estas cifras “a la ligera”.
En México, gracias a la iniciativa de algunas organizaciones pertenecientes a los sectores salud y financiero (principales afectados en materia de seguridad de la información), muchas empresas, hoy en día, están adoptando un modelo de cambio que involucra amplias y robustas estrategias de ciberseguridad, ésto debido a las cuantiosas pérdidas económicas que nuestro país has experimentado en los últimos años resultado de millones de ataques cibernéticos. Estas estrategias se encuentran basadas no sólo en controles para la mitigación de vulnerabilidades existentes en entornos tecnológicos, sino que están respaldadas y basadas en marcos de TI como son el NIST o ISO27000, los cuales avalan y garantizan un mayor cumplimiento en cuestión de ciberseguridad.
A pesar de que las compañías están cada vez más consientes sobre los riesgos que existes o se generan día a día, desde la perspectiva de Oliver Wyman, la inversión en nuestro país aún es insuficiente, sobre todo porque se espera que existan amenazas cada vez más avanzadas y sofisticadas que pondrán en mayor riesgo a empresas que no cuenten con los debidos sistemas de seguridad, pues muchas de éstas no sólo vienen desde exterior, hay que estar conscientes que la gran mayor parte del robo de información proviene del corazón de la empresa.
Podemos entonces decir que, los riesgos informáticos externos generalmente implican que un tercero ya sea un malware o hacker vulnere los sistemas y robe o modifique información importante sensible o sensitiva impactando principalmente a los usuarios y clientes de una institución. Sin embargo, las mayores amenazas tienen como factor principal el mal manejo o uso de la información, generalmente siendo los empleados los catalogados como actores principales.
Cualquiera de los anteriores escenarios pone en riesgo uno de los activos más importantes para cualquier institución: la información. Pero debemos estar conscientes de como ésta adquiere mayor relevancia según sea el uso que se le está dado o en manos de quien cae, por eso, es importante contar con un plan adecuado de ciberseguridad respaldo de expertos en la materia y que ajuste a las necesidades y tipo de empresa, pero sobre todo, debemos de ser y hacer conscientes a nuestros colaboradores y stakeholders de la importancia que hoy en día tiene la información.
Elías Cedillo - CEO BuróMC, Seguridad Informática