En los últimos meses he tenido diferentes conversaciones con empresas en relación a la seguridad informática. Ha sido alarmante la postura que tienen hacia la ciberseguridad, lo que me deja claro que hay que trabajar mucho en un cambio de mentalidad.

Puedo decir que hay dos tipos de empresas: las que han sido vulneradas y las que lo serán en algún momento. Los ataques cibernéticos sofisticados están en aumento en los últimos años, y, lamentablemente muchas organizaciones ignoran la ciberseguridad y simplemente tienen la esperanza de que nada les va a ocurrir. Sin embargo, esa esperanza está muy lejos de ser algo estratégico. Las empresas que evitan la ciberseguridad corren el riesgo de una responsabilidad legal masiva, la pérdida de propiedad intelectual, el robo de recursos financieros críticos y un gran impacto en su reputación.

Si una organización tiene una pequeña red informática, servidores, computadoras, un sitio web, etc. es vulnerable. En ese sentido, es necesario entender que los piratas informáticos no solo apuntan a las grandes empresas, también lo hacen con las pequeñas, nadie está exento de sufrir un ataque.

Los ciberdelincuentes utilizan herramientas avanzadas para detectar y explotar vulnerabilidades, donde se incluye el uso de Bots, Machine Learning e Inteligencia Artificial, entre otros. Por lo tanto, el riesgo de ser vulnerado es muy alto, aquí es donde se hace relevante tomar mayor conciencia y desarrollar un plan de ciberseguridad para reducir la probabilidad y el impacto de un ataque.

Volviendo a lo dicho por Napoleon Hill: «No espere». Puede que no sea un momento conveniente para implementar una línea base de seguridad, pero es el momento adecuado. Las consecuencias de no hacerlo pueden tener profundas implicaciones para la organización.

1. Trabajar en un plan, ahora.

Se debe definir una política de ciberseguridad para toda la organización, donde se debe priorizar el entendimiento del negocio y como las buenas prácticas pueden alinearse. Para ser eficaz, esta política debe ser estratégica, práctica, integral y se debe aplicar de forma coherente en todos los niveles de la empresa. La política debe establecer procedimientos para manejar información financiera o personal sensible; requerir contraseñas complejas, cifrado y autenticación de dos factores; definir políticas de acceso y monitoreo de la red; exigir formación en ciberseguridad a los empleados, etc. La política también debe considerar los requisitos legales aplicables para usar o almacenar información confidencial.

2. La mejor ofensiva es una buena defensa.

La planificación no es nada sin acción, así que se debe hacer cumplir la política. Las contraseñas seguras, los datos cifrados y los empleados con conocimiento son algunas de las herramientas de ciberdefensa más valiosas. Hay que asegurarse de aplicar actualizaciones de software con regularidad y supervisar la red para detectar actividad inusual. La ciberseguridad no es solo seguridad digital; también se debe mantener los sistemas informáticos y documentos físicos en áreas seguras para evitar el acceso no autorizado o el robo. Cuanto más completas sean las defensas activas, es más probable que un atacante se mueva hacia un objetivo diferente.

3. Pensar fuera de la caja.

El error común que cometen las empresas es centrarse solo en la seguridad perimetral de la red y no tienen en cuenta los datos externos. Las empresas dependen cada vez más de plataformas Cloud y transmiten datos confidenciales fuera de la red local. Se debe asegurar que los proveedores de servicios estén utilizando procedimientos de seguridad estándares de la industria, también se debe incluir requisitos de seguridad de los dispositivos móviles. Se debe verificar periódicamente que las partes se adhieran a los acuerdos de seguridad tanto online como offline. Otro punto importante a tener en cuenta, es que el ataque puede ser originado de manera interna, la seguridad física también es un factor fundamental.

4. Iterar y mejorar.

La tecnología cambia, y también debería hacerlo el plan estratégico de ciberseguridad. Este tiene que ser evolutivo y dinámico. Se debe auditar las necesidades, políticas y prácticas de seguridad de su empresa al menos una vez al año para garantizar su cumplimiento y su eficacia. A medida que cambia el panorama digital y legal, es posible que se deba ajustar el plan en consecuencia. Si determinadas políticas resultan inviables, el entorno de TI de la empresa cambia o se promulga una nueva ley, debe revisar las políticas y prácticas. Si bien ningún plan de seguridad es perfecto, los mejores planes mejoran constantemente las debilidades descubiertas y se mantienen al día con los rápidos cambios de la tecnología.

5. Después de un ataque, reaccionar.

Ningún plan de ciberseguridad es perfecto, los ataques se deben tratar como algo inevitable. La política debe incluir un procedimiento eficaz para responder y notificar un evento. Cuando se sospecha que se ha sufrido un hackeo, se debe tomar una acción rápida para limitar el daño. Se deben tomar medidas para aislar y detener el ataque, luego comunicar a un comité, ya que la empresa puede tener obligaciones legales, como notificar a las partes interesadas.

6. Gestionar el talento

Existe un gran problema a nivel global, la escasez de profesionales en ciberseguridad, ya que los números son muy preocupantes, esto lleva cubrir posiciones con profesionales que no están realmente preparados o en algunos casos sobrepagados. Si no se cuenta con el capital humano hay que buscarlo, también se puede optar por profesionales externos o empresas proveedoras.

7. Cambiar la mentalidad

Es un punto clave, como comenté al inicio de este artículo la mirada que se tiene sobre la ciberseguridad es preocupante. Se debe tomar acción inmediata y colocar a la ciberseguridad como algo estratégico y transversal a toda la organización. El plan debe incluir políticas de uso, normas y acciones claras para integrar adecuadamente a las personas, los procesos y la tecnología.

Nadie quiere creer que su empresa será hackeada, aquellas organizaciones que desarrollen y apliquen políticas de ciberseguridad mitigarán el riesgo y reducirán el impacto financiero cuando se produzca un ataque. Hacer cumplir una política de ciberseguridad es vital para proteger a la organización.

Muchas veces, un cliente me ha descrito lo que iba a hacer. Muchas veces más, ese mismo cliente me llamó para preguntarme qué hacer frente un ataque ya consumado.

El momento es, ahora!