Invertir en ciberseguridad: la necesidad obligatoria

La ciberseguridad es un elemento crucial para el correcto funcionamiento de cualquier tipo de organización hoy en día. Sin ella, muchas podrían desparecer con un único ciberataque. Por ello invertir en ciberseguridad nunca será un gasto.

Si por necesidad, en un momento determinado, cualquier compañía tuviera que frenar cualquiera de sus inversiones relacionadas con la transformación digital podría hacerlo con todas y cada una de ellas, salvo una: todo lo relacionado con la ciberseguridad de la empresa.

Y es que, de la misma forma que se protege el exterior y el interior de una sede, la parte cibernética es, si cabe, cada vez más importante. A pesar de que cualquier empresa está expuesta a sufrir cualquier tipo de ataque, decidir no protegerse y reducir la inversión que se realiza en ciberseguridad hace a cualquier organización más vulnerable y, por tanto, con más posibilidades de sufrir un ciberataque que le suponga, incluso el cierre de su actividad.

Por tanto, la inversión en ciberseguridad es la única de la que no se debería prescindir nunca. Y lo cierto es que es algo que ha cambiado: las empresas son cada vez más conscientes de que la ciberseguridad es esencial para el buen funcionamiento de su negocio y, desde la más pequeña a la más grande, las inversiones por este concepto, son cada vez mayores.

Los principales errores en materia de ciberseguridad, que muchas empresas cometen en ocasiones pueden ser:

  • Las personas y el uso que hacen de la tecnología en sus puestos de trabajo. Las campañas de phishing o incluso el uso malintencionado de recursos corporativos son quizás los ejemplos más evidentes de cómo las medidas tecnológicas resultan insuficientes cuando un empleado decide actuar de forma irresponsable. Es necesario concienciar a las personas de la relevancia de sus decisiones en cuanto al uso de los recursos corporativos e invitarlos a seguir las pautas marcadas por la organización.

  • Otro de los riesgos que a menudo asumen las compañías es una mala planificación de los procedimientos de actualización de versiones de sus infraestructuras tecnológicas. Una gran parte de los problemas de ciberseguridad en una empresa provienen de la no actualización del software que emplean. Solo es necesario ver como mucho del malware que circula por Internet explota vulnerabilidades que presentaban los sistemas operativos y que, aun resueltas con nuevas versiones, no han sido incorporadas a los equipos de la empresa.

  • Ni que decir tiene que el uso de dispositivos personales para actividades profesionales es otro de los riesgos que a menudo asumen muchas empresas. Incluso, al contrario, el uso de dispositivos profesionales para uso personales. Las pautas de conducta de un empleado fuera de su lugar de trabajo pueden tener serias consecuencias para la organización si no se dispone de medidas adecuadas .

  • Por último, están los mecanismos de autenticación y autorización. El control de acceso a recursos con privilegios adecuados es algo que no todas las compañías tienen definido lo que conlleva situaciones en las que todo el mundo (o demasiadas personas) tienen acceso a toda la información de la organización. Además, está el uso de mecanismos de autenticación adecuados de doble factor que reducen los riesgos asociados a una débil gestión en el uso de passwords sin unos mínimos de calidad y que nunca son cambiadas.

 

 

Pero a pesar de que las empresas comenten errores, lo cierto es que la política de seguridad tiene cada vez una importancia mayor. Buena prueba de ello, es que cada vez más, las compañías cuentan con una figura que hace unos años no existía en buena parte de ellas: las Consultorías Informáticas.

Deben jugar un papel fundamental porque la ciberseguridad debe ser una prioridad, en todos sus sentidos. A la hora de establecer cualquier estrategia de negocio no solo se tienen que tener en cuenta los aspectos más puramente económicos que a todos nos vienen a la mente (beneficios, pérdidas), qué está haciendo la competencia, el capital humano o el offering con el que se cuenta, sino también la inversión en equipamiento técnico, las instalaciones y, por supuesto, la seguridad, tanto física como informática. Y es justo aquí donde entran en acción las consultoras, quienes deben diseñar una estrategia que incluya todas las herramientas y personal necesarios para garantizar que la información, datos, equipos y dispositivos, y conexiones estén seguras. Una mala práctica en seguridad no solo provoca grandes pérdidas de dinero a las compañías por las posibles multas que tengan que pagar si la información se encuentra en peligro, sino también graves pérdidas reputacionales que harán que los clientes desconfíen de la marca y, por ende, busquen alternativas en la competencia.

Pero además, debemos tener en cuenta es que la seguridad no es un estado, es un proceso que evoluciona y del que hay que estar siempre pendiente. Así, el director general de Kasperesky Lab, afirma que «la seguridad 100% no es posible», la pregunta ya no es si seremos atacados, sino cuándo y con qué rapidez podremos recuperarnos. No hay una única tecnología de protección que nos garantice la seguridad total y nunca la habrá. Por eso, un enfoque efectivo es aquel que trata la amenaza de forma holística con un conjunto de soluciones completo y tecnologías de protección multicapa. No se trata sólo de prevenir incidentes, sino también de predecir, detectar y responder a los incidentes. Y todo ello de forma eficaz, fiable y flexible”.

La gran ventaja para las empresas es que la oferta que ofrece el mercado para proteger aquello que se encuentra fuera del perímetro es abundante. En este sentido la estrategia debe pasar por cuatro puntos importantes: proteger el dispositivo, las aplicaciones, las comunicaciones y al usuario. Con un buen análisis preventivo y aplicando las tecnologías adecuadas, podemos cubrir estos cuatro aspectos de forma coordinada y efectiva, sin violar la privacidad del usuario y sin arriesgar en problemas de seguridad.