La ciberseguridad se ha transformado en un tema fundamental en los últimos años, tanto para empresas, como instituciones y estados en todo el mundo. Hace un par de décadas era algo más bien desconocido, que no muchos manejaban.
Actualmente la ciberseguridad es esencial para el buen funcionamiento de cualquier compañía. La digitalización por su parte ha llegado a niveles muy altos y se proyecta con un crecimiento exponencial.
Esta situación para quienes están relacionados a la seguridad de la información es conocida, el CISO de la empresa reconoce la importancia y la relevancia que tiene para asegurar el funcionamiento óptimo de la compañía
La ciberseguridad ha adquirido tal magnitud de importancia mundialmente, que no solo es un tema del que se preocupan los oficiales de seguridad, si no que los diversos estados gobernantes se han dedicado a establecer ciertas reglas y normativas que sienten una base para el funcionamiento seguro de las empresas que operan en sus territorios.
Las normativas difieren por rubro al que se dedica una empresa, ya que sus necesidades son distintas, pero hay algo que sí tienen todas en común. La gran mayoría de las empresas cumplen con las normativas exigidas, pero también muchas de ellas solo se quedan con esto.
Este es uno de los grandes problemas con los que se enfrentan los oficiales de seguridad cuando están trabajando en una empresa, ya que la compañía está en regla con las normativas exigidas pero esto en la práctica no les presta la utilidad necesaria.
Como bien sabemos la normativa debe ser cumplida, pero para mejorar la efectividad y los resultados de la empresa en relación a la ciberseguridad se debe ir más allá de estos parámetros.
Insuficiente
Puede que la palabra suene un poco fuerte pero, cuando la empresa solo se queda en cumplir con lo estipulado en la normativa todas estas acciones resultan ser insuficientes.
Podemos poner un ejemplo, si tu eres el responsable de la ciberseguridad en una empresa y esta cumple solo con la normativa vigente. Dentro de estas reglas está la instalación de un software, la compañía lo tiene, porque siempre cumple con la normativa.
Pero cuando el oficial de seguridad revisa el software está desactualizado por más de tres años. O sea, la empresa claramente cumplió con lo estipulado en la normativa que dice específicamente el software que debe tener instalado, pero como no dice que debe estar actualizado, no lo está.
Esto en la práctica genera más problemas que soluciones, porque la realidad es que un software instalado no es la solución definitiva a los problemas para los cuales fue diseñada esta regla.
Esto en palabras sencillas es tener una instalación pero no realizar ningún mantenimiento, a la larga la estructura puede ceder y no prestará utilidad para la que fue pensada, hasta incluso generará más problemas que soluciones.
Inversión
Las empresas en general se mueven en base a la premisa de cumplir con la normativa, pero en general no van más allá. Cuando eso sucede se genera un problema para la compañía.
Pero el problema lo experimenta el oficial de seguridad. Es él quién se ocupa de la ciberseguridad y es el responsable de tener una infraestructura tecnológica segura para la empresa.
¿Cómo poder cambiar esta situación? Para poder realizar un giro a esta realidad de las empresas se debe poner primero que todo un punto en torno a la inversión.
Para la empresa la inversión es uno de sus pilares fundamentales, todo lo que tenga que ver con esto se toma con muchísima cautela y tiene que ser un aporte para ella. En este sentido, cuando se cumple con la normativa estipulada, la compañía tiene que realizar una inversión económica.
Esta inversión en ciberseguridad por lo general considera sumas importantes de dinero. Pero cuando solo se cumple con la normativa y no se actualiza, ni se preocupa de ir más allá de esto, lo que significa al largo plazo es que es una inversión que pierde sentido y utilidad.
En resumidas cuentas, si la empresa solo se queda con la normativa, la inversión económica es casi perdida, ya que la utilidad para la que fue pensada no se experimenta y si al largo plazo se tiene un problema en torno a la ciberseguridad, la solución será mucho más cara.
Efectividad
La ciberseguridad se vuelve cada día más importante a nivel global, incluso en tiempos de pandemia y difíciles para toda la sociedad, los ciberataques han tenido un alza importante. Si te interesa saber más sobre este tema puedes leer el artículo “Ciberataques sin tregua: Estrategias para defender la información de nuestra empresa”
Los ciberdeliencuentes siempre están creando nuevas formas de ingresar a la infraestructura de las empresas, estados, instituciones y todo lo que les resulte interesante.
Últimamente están mucho más enfocados en la ingeniería social, al parecer ahí encontraron un buen sitio para ingresar más fácilmente. Esto pasa porque la mayoría de la población tiene poco conocimiento sobre ciberseguridad y ciberataques, por lo que resultan una presa más fácil.
Pero esto no quiere decir que han dejado de tener como objetivo a las empresas, por lo que resulta importante tener una infraestructura tecnológica segura y resguardada. Para poder llegar a este objetivo lo primero que debes tener es reconocida toda tu infraestructura TI.
Si esto no sucede, y tienes una visibilidad parcializada, solo puedes proteger lo que conoces, incluso la inversión que se realiza por las peticiones estipuladas en la normativa resultan poco efectivas.
Para poder hacer frente a esta situación se recomienda realizar un discovery de infraestructura TI, que te permita tener una visión total.
Cuando tengas toda la visibilidad, lo que significa que conoces todo el universo en el que se mueve tu empresa en torno a la ciberseguridad, el paso siguiente es realizar un Scan de vulnerabilidades, el que te arrojará todas y cada una de ellas.
Las vulnerabilidades en cada empresa varían, pero en promedio son más de mil. La recomendación es corregirlas todas. Para poder realizar esta tarea debes priorizar las más importantes.
Para ello te puedes ayudar de la clasificación de servicio de negocios, en las que se agrupan los servicios tecnológicos y la utilidad que prestan para la empresa. Con esto se analiza el riesgo de cada proceso crítico.
Conocer el riesgo de cada servicio de negocios te ayudará a poder priorizar y saber cuáles son las acciones que son más urgentes para el buen funcionamiento de la empresa.
Resumen
Conocer la importancia de la ciberseguridad es esencial, incluso a nivel global se ha tomado en consideración todo lo que tiene que ver con la seguridad de la información.
Con el alza de vulnerabilidades que se registran cada año y el peligro latente de los ciberataques, las empresa e instituciones siempre deben estar alerta y resguardadas.
Es tanta la importancia de la ciberseguridad que los estados de cada territorio han estipulado normativas para las empresas, las que cambian dependiendo del rubro. Pero tienen algo en común.
En su mayoría las empresas cumplen con la normativa que se les pide, pero también la mayoría se queda hasta ahí.
Esto a final de cuentas lo que produce es que las acciones que se realizan en torno a la normativa solicitada prestan una baja utilidad. Porque no sirve de mucho tener por ejemplo, un software pero sin actualizar.
Para evitar estos problemas se recomienda ir más allá de la normativa establecida. Tener en consideración que ésta es una inversión económica importante y que lo mejor para la empresa es que preste la máxima utilidad posible.
Entendiendo que la ciberseguridad es importante para el funcionamiento de la empresa, ir más allá de la normativa resulta en tener mejores resultados para toda la organización.
Con una inversión efectiva, eficiente y que permite que el oficial de seguridad realice su trabajo de la mejor manera y sea un aporte para la compañía.
