Es fundamental fomentar la concienciación y la cultura de seguridad en las organizaciones
La ciberseguridad se ha convertido en la principal preocupación de las organizaciones, dado que los procesos de transformación digital forman parte de las estrategias empresariales. La interconexión de las organizaciones es un hecho y las nuevas tecnologías que emergen cada día y, son adoptadas, (inteligencia artificial, cloud, blockchain, computación cuántica, etc,) incorporan nuevos riesgos y desafíos. Pero lo más preocupante es que los incidentes o los ataques cibernéticos a los que se enfrentan las compañías no dejan de crecer y de sofisticarse, en lo que parece una carrera desbocada.
La información y los datos son los activos más valiosos de las organizaciones y, el robo de información confidencial, la pérdida de información estratégica o la interrupción de los servicios que prestan las organizaciones a consecuencia de un ciberataque; son sólo algunos de los problemas a los que se enfrentan las empresas con las consiguientes consecuencias de pérdidas: económicas, reputacionales y legales.
Ante este panorama, los organismos reguladores están reforzando la legislación para aumentar los requerimientos que se exigen a las compañías para homogeneizar y mejorar los niveles de protección, detección y respuesta ante cualquier incidente de seguridad. Incluso, establecer la necesidad de que la dirección de las organizaciones se enfrente a estas responsabilidades con carácter sancionador. En cualquier caso, las principales interesadas son las compañías que, en estos desafíos se juegan su propia supervivencia.
La buena noticia es que existen mecanismos para reducir estas situaciones de riesgo cibernético (porque evitar es imposible) y son el desarrollo de planes de seguridad que deben abordar las organizaciones con enfoques efectivos, sólidos y completos para maximizar la protección.
En esta labor, cada organización debe desarrollar los planes de forma personal, teniendo en cuenta su actividad empresarial, su infraestructura tecnológica y los riesgos a los que se enfrenta y que deberá gestionar adecuadamente atendiendo a sus prioridades.
Son fundamentales las acciones de protección de nuestra actividad de negocio: como son el análisis de las vulnerabilidades que tienen nuestros sistemas de información para poder solventarlas y evitar accesos indebidos, la gestión de los accesos a nuestros entornos tecnológicos -sobre todo de aquellos que otorgan mayores privilegios-, el control de los riesgos de nuestros proveedores o de terceros; entre otros muchos ejemplos, pero también son muy importantes las actividades que permiten monitorizar y alertar de situaciones sospechosas y, que con anticipación, nos pueden librar de un potencial incidente.
En cualquier caso, por mucho que tratemos de gestionar los riesgos, ninguna organización está a salvo de poder sufrir un incidente, por lo que es necesario desarrollar procedimientos, actuaciones y equipos que nos permitan gestionar los incidentes en caso de que se produzcan. Esta gestión debe ir más allá de la respuesta técnica y rápida que permite contener y aislar el problema; debiendo incluir también los procesos de gestión de la crisis, como son los de comunicación con empleados, clientes, proveedores, autoridades y, los de recuperación de la actividad normal.
Todas estas actuaciones, aunque parecen terreno de áreas más especializadas que conocen los conceptos tecnológicos, deben conducir al desarrollo de una cultura de seguridad, más amplia y que involucre a todos, para cubrir el desafío que representa el ’factor humano’ y evitar que pueda ser utilizado para poner en práctica algún ataque de seguridad; utilizando por ejemplo técnicas de ingeniería social, o los conocidos ataques de phishing por los que a través de diferentes métodos pueden llegar a robar las credenciales de los usuarios o introducir un malware en la compañía.
Por lo tanto, es fundamental fomentar la concienciación y la cultura de seguridad en las organizaciones, para asegurar que todos los empleados reciben la formación necesaria. Así mismo es importante que la sociedad disponga de las nociones básicas que representa el uso de la tecnología en su día a día, con el objetivo de evitar que la cadena de servicios falle en el eslabón más débil.
En resumen, la ciberseguridad es esencial para proteger la información y las operaciones de las empresas en un entorno digital cada vez más complejo; más aún, con una evolución tecnológica tan fuerte y dinámica. Es necesario analizar y gestionar los riesgos de forma continua para que las empresas mantengan siempre sus sistemas empresariales actualizados y protegidos. Por eso es muy importante que las organizaciones dispongan de programas y planes de actuación en ciberseguridad de forma que en todo momento reporten la situación a la dirección para asegurar el entendimiento de los riesgos y el apoyo a la ejecución de los programas necesarios.
Publicado en Economía Digital