Es peligroso pensar que los riesgos se pueden manejar con un sistema integral

Por:  14 octubre

Conforme se revela la escala y complejidad del paisaje de las amenazas cibernéticas, también lo hace la falta generalizada de preparación sobre ciberseguridad en las organizaciones, incluso aquellas que gastan cientos de millones de dólares en la última tecnología.

Los inversionistas que han inundado el mercado de la ciberseguridad, buscando el siguiente “unicornio” de software, siguen sin darse cuenta de que, con un desafío tan complejo, no hay panacea, ciertamente no una que dependa solo de la tecnología.

De hecho, las principales fuentes de ciberamenazas no son tecnológicas. Se encuentran en el cerebro humano, en forma de curiosidad, ignorancia, apatía y la arrogancia. Esas formas humanas de malware pueden estar presentes en cualquier organización y son tan peligrosas como las amenazas distribuidas a través de códigos maliciosos.

Con cualquier ciberamenaza, la primera y la última línea de defensa son los líderes y empleados que estén preparados, ya sea que se encuentren dentro de una organización o sean parte de la cadena de suministro.

Un liderazgo mal preparado y letárgico solo amplifica las consecuencias de una brecha en la seguridad. La escala de la grieta en Yahoo, revelada en el 2016, combinada con una torpe respuesta, le costó a la compañía $350 millones en su fusión con Verizon y casi hizo caer el trato completo.

Para prevenir y prepararse ante los ciberataques del futuro, las firmas necesitan equilibrar la disuasión tecnológica con defensas ágiles y centradas en seres humanos. Estos esfuerzos centrados en las personas deben incluir un enfoque proactivo de liderazgo con toma de decisiones más rápidas y agudas. Conforme las ciberamenazas crecen exponencialmente, el manejo integral del riesgo se convierte en una prioridad a nivel de la junta directiva.

 La mejor inversión que puede hacer en ciberseguridad es mejor entrenamiento
La mejor inversión que puede hacer en ciberseguridad es mejor entrenamiento

Las firmas deben reconocer y reaccionar a tres verdades incómodas.

El ciberriesgo evoluciona de acuerdo con la ley de Moore, el poder de procesamiento se duplica aproximadamente cada 18 meses, especialmente respecto al costo o tamaño. Esta es una de las razones por las que las soluciones tecnológicas nunca podrán por sí solas mantener el ritmo de las dinámicas ciberamenazas.

Como con cualquier manejo de amenazas, la defensa es un rol mucho más difícil de jugar que la ofensiva. Los jugadores ofensivos solo necesitan ganar una vez para desatar un incalculable caos en una empresa.

Los atacantes tienen a la paciencia y la latencia de su lado. Las firmas pueden adormecerse en un peligroso estado de complacencia a causa de sus tecnologías defensivas, firewalls y garantías de perfecta ciberhigiene.

El peligro es pensar que esos riesgos pueden ser perfectamente manejados a través de alguna especie de sistema integral de defensa. Es mejor asumir que sus defensas serán superadas y entrenar a las personas sobre lo que hay que hacer cuando esto sucede.

Agilidad y reacción

En lugar de “manejo de riesgo”, piense en ello como “agilidad de riesgo”. La empresa ágil equipa a todas las capas organizacionales con vías para tomar decisiones y límites para definir umbrales de tolerancia al riesgo. Todos los empleados deberían entender no solo lo que se espera de ellos sobre la política de la empresa y el comportamiento en línea sino, también, estar entrenados para reconocer actividad sospechosa.

El atributo clave es el concepto “si siente algo, haga algo”, que hace que todas las personas de una organización sean parte de una “red neuronal de seguridad”. Por ejemplo, la defensa en contra del hackeo bancario SWIFT, en el que se robaron aproximadamente $81 millones, fue lanzada por la alerta de un empleado bancario en Alemania, que reconoció un error ortográfico.

Cuando decimos que todos los empleados deben ser ágiles respecto al riesgo, queremos decir todos. Ejecutivos de alto nivel, directores de junta, accionistas y otros líderes deben no solo invertir en entrenamiento para los empleados de su firma, sino también considerar cómo evaluar e informar a los contratistas, consultores y vendedores en sus cadenas de suministro. Dichas terceras partes con acceso a las redes de la compañía han hecho posibles brechas de alto perfil, incluyendo las que sufrieron Target y Home Depot, entre otros.

Un ejecutivo escéptico podría replicar por esta idea: ¿no costaría mucho? El hecho es que el entrenamiento en ciberseguridad está muy subcapitalizado, y la falta de inversiones en programas de cibereducación de calidad es evidente en el mero volumen de brechas que continúan siendo provocadas por fallas humanas.

En una encuesta realizada en el 2016 por CSO magazine y la CERT Division del Software Engineering Institute de Carnegie Mellon University, los encuestados reportaron que personas internas fueron el motivo de “50% de los incidentes donde información privada o sensible fue expuesta involuntariamente”. Las amenazas internas pueden incluir actividades maliciosas, pero también errores de los empleados, como caer en un engaño de phishing (técnica de fraude por correo electrónico, donde el agresor hace pasar una página propia como si fuera de la empresa).

Habrá algunas inversiones requeridas para mejorar la preparación del personal, pero con el paso del tiempo ello puede ser efectivo en cuanto a costos, particularmente en comparación a implementar tecnología de ciberseguridad de vanguardia, que podría volverse obsoleta. Incluso así, la tecnología sigue siendo una pieza crítica del rompecabezas de la ciber seguridad.

Los líderes corporativos serían sabios en entender que el futuro de la ciberseguridad está en soluciones que reconozcan importancia de colocar la preparación humana por encima de las defensas tecnológicas.

© 2017 Harvard Business School Publishing Corp. Distribuido por: The New York Times Syndicate