Las organizaciones que mejor han enfrentado el exponencial incremento de los ciberataques durante la pandemia son las que se prepararon identificando sus activos digitales, estructurando planes para la gestión del riesgo y probando los protocolos con los empleados.
La crisis sanitaria aceleró la digitalización del trabajo y la producción, y consolidó los ambientes digitales, que representan en este momento una enorme oportunidad para el desarrollo.
Todo escenario tiene riesgos, y en estos ambientes uno de los principales es la seguridad de la información y los activos digitales, debido a que la industria del cibercrimen ha crecido mucho en estos años pandémicos.
De acuerdo con la revista Forbes, los gobiernos experimentaron un incremento del 1,9% en ataques de ransomware en el 2021, y la tendencia es hacia el incremento.
La visión de ciberseguridad en la organización debe transmitirse desde el más alto nivel, desde los gobiernos corporativos hacia los equipos ejecutivos responsables de la ejecución.
Quien lidera debe asegurarse de que el equipo ejecutivo tenga un plan, esté preparado y prepare a toda la organización para un eventual ataque. La pregunta no es si nos va a pasar a nosotros, sino cuándo y si podemos detectarlo, detenerlo, mitigar sus efectos y regresar las operaciones a la normalidad lo antes posible.
Los líderes deben manejar el equilibrio entre funcionalidad, seguridad y costo. Ante un ataque, hay daño operacional, reputacional y legal, entre otros, y se necesita mucho alineamiento del equipo para manejar los acontecimientos. Esto permite entender que la ciberseguridad es multidisciplinaria y debe tener una gestión transversal en la empresa.
El Cybersecurity Framework, del National Institute of Standards and Technology de Estados Unidos, referente global en la materia, organiza los ámbitos de su práctica en los siguientes componentes: identificar activos digitales, gobernanza y riesgo; proteger acceso y seguridad de los datos y la tecnología; detectar vulnerabilidades, anomalías y ataques; responder mediante un buen manejo de la crisis; y recuperar la integridad de la estabilidad de la operación, la tecnología, los datos y la reputación.
Los ataques más comunes, experimentados por empresas, instituciones y personas son el phishing (e-mails con software malicioso), el ransomware (secuestro de sistemas y datos por medio de programas informáticos y equipos especializados) y el robo de credenciales.
Para aumentar la ciberseguridad es necesario que el equipo líder tome conciencia de su relevancia, aumente sus capacidades y las transmita de forma transversal en la empresa, mediante capacitación y sensibilización constante, para consolidar una cultura organizacional de ciberresiliencia.
También, es decisivo diagnosticar adecuadamente el estado de la situación y contar con los recursos (tecnológicos, presupuestarios y humanos) necesarios para avanzar hacia la madurez en materia de ciberseguridad, con un balance constante entre control, seguridad e innovación.
“Si usted cree que la tecnología puede resolver sus problemas de seguridad, entonces usted no entiende los problemas y no entiende la tecnología”, afirma Bruce Schneier, gurú estadounidense en ciberseguridad.
Las tecnologías son una parte fundamental, ciertamente, pero es el abordaje multidisciplinario, preventivo y estratégico lo que ayudará a miles de organizaciones a enfrentar los riesgos de la era digital.
solecheverria@gmail.com
La autora es experta en capital humano y asesora en cultura organizacional de ciberseguridad.