Opinión
La seguridad cibernética es un problema que cuesta US$445.000 millones anuales y algunos predicen que esa cifra podría llegar a US$6 billones en 2021. Las áreas de finanzas, operaciones, datos de clientes, I&D, propiedad intelectual y reputación de marca de todas las empresas están en riesgo. Sin embargo, muchas organizaciones todavía creen que todo se resuelve con una defensa sólida. Quizá sea hora de enfrentar la cruda realidad: ninguna defensa es 100% impenetrable.
La seguridad cibernética es un problema que cuesta US$445.000 millones anuales y algunos predicen que esa cifra podría llegar a US$6 billones en 2021. Las áreas de finanzas, operaciones, datos de clientes, I&D, propiedad intelectual y reputación de marca de todas las empresas están en riesgo. Sin embargo, muchas organizaciones todavía creen que todo se resuelve con una defensa sólida.
Quizá sea hora de enfrentar la cruda realidad: ninguna defensa es 100% impenetrable. Las empresas deben aumentar sus recursos corporativos para poder salir airosas incluso después de un incidente grave de seguridad.
Según investigaciones recientes de The Boston Consulting Group, más del 70% de los ciberataques aprovechan las vulnerabilidades no técnicas. La moraleja es que el blindaje cibernético de una compañía debe trascender la esfera técnica del equipo de TI e integrar a las personas y los procesos en pos de lograr una adecuada cultura de seguridad.
Para conseguirlo es preciso comprender las tres fases de un ataque exitoso: el antes, el durante y el después. La medida en que su empresa capte y esté preparada para cada fase puede marcar una enorme diferencia a la hora de determinar si una falla es relativamente inocua o conlleva un alto costo para su negocio.
El período previo a un ataque puede durar tanto como el atacante decida. Este es el momento oportuno para que los defensores lleven a cabo una acción crítica: sensibilizar tanto al personal de TI, como al no técnico, acerca de posibles amenazas cibernéticas. Es fundamental que el personal de TI sepa identificar los primeros signos de una ofensiva y reaccione de manera eficaz. También hay que garantizar que el personal no técnico entienda la importancia de actuar con prudencia y evitarle riesgos a la compañía.
Además, hay que pensar cuidadosamente el diseño, la implementación y la configuración del sistema tecnológico de la empresa, especialmente los derechos de acceso. Conviene apuntar a un sistema de gestión de acceso basado en roles destinado al personal no técnico, que mantenga a las personas separadas de las aplicaciones o datos que estas no precisan.
Cuando se detecta una amenaza, hay una serie de medidas importantes que se pueden adoptar: movilizar al equipo especializado de respuesta, comunicar el ataque a la organización, trabajar en conjunto para garantizar que las personas denuncien de inmediato las fallas detectadas y los puntos vulnerables, actuar con rapidez para mitigar los daños. Durante su transcurso, la empresa debe garantizar una gestión activa de las comunicaciones con los públicos internos y externos y que se sigan cumpliendo las obligaciones y los plazos de presentación de informes reglamentarios.
Cuando haya pasado la crisis, todas las funciones y unidades de la empresa deben abocarse a comprender la naturaleza del ataque y garantizar que el personal haya resuelto las vulnerabilidades y actualizado las defensas y los procesos. Y, por supuesto, hay que permanecer vigilantes. Es fundamental analizar las causas de la falla e incorporar lo aprendido en esa situación.
Oriol Solans
Socio y managing director de Boston Consulting Group en Chile
