Buscar
  • Adrian Ponce

Sufrir un ciberataque, ¿vergüenza u oportunidad?


A pesar de que en los últimos años, y especialmente en los últimos meses, hemos presenciado ciberataques devastadores a varias organizaciones, muchas de las empresas más grandes del mundo siguen aún sin estar del todo preparadas. En varias ocasiones los directorios no comprenden del todo el carácter estratégico de los ciberataques, o no lo perciben como una grave amenaza para las ganancias y las operaciones. Esto, a pesar de que ya hace bastante tiempo las organizaciones han dejado de ser análogas y físicas, para convertirse en un negocio digital intensivo en datos. En ese contexto, el impacto de un ataque no se limita al departamento de TI, sino que afecta la continuidad de todo el negocio.

Es entendible el porqué muchas veces no se reconoce a la ciberseguridad como una prioridad estratégica, incluso cuando existen numerosas estrategias de transformación digital. Por naturaleza o tradición, en muchas oportunidades la responsabilidad de la ciberseguridad se delega en el departamento de TI. En otros casos, no se ve al departamento de TI como un proveedor de ventajas estratégicas, sino más bien como un proveedor de servicios interno, principalmente responsable de mantener los sistemas funcionando. A pesar de que la ciberamenaza se ha expandido drásticamente en todas las organizaciones, al mismo tiempo se sigue viendo a la tecnología como más estratégica para la empresa, y en consecuencia la ciberseguridad ha permanecido delegada a las operaciones de TI, donde reside la experiencia técnica necesaria para evaluar y responder a las ciberamenazas. Al ser la ciberseguridad un tema aún desconocido, los directivos ceden ante la tendencia cognitiva de seguir con las mismas prioridades estratégicas, interpretando muchas veces, la ausencia de un ciberataque como evidencia de que la organización va por buen camino. Esto, y la tendencia de ver muchas veces las inversiones en ciberseguridad como una situación en la que todos pierden: sentir que si atacan a la organización, se pierde reputación y ganancias; y si la organización no es atacada, entonces, las inversiones en ciberseguridad son percibidas como un desperdicio de recursos. Todo lo anterior haciendo que las inversiones en ciberseguridad muchas veces tengan una prioridad relegada.

La vergüenza.


Al día de hoy, no son pocas las organizaciones que aún malinterpretan la naturaleza estratégica del ciber riesgo. Incluso en ocasiones no logrando elevar el riesgo de un ciberataque a una consideración estratégica, porque caracterizan erróneamente la amenaza como un evento aleatorio e impredecible, cuando de hecho, ninguna organización es inmune y los ciberataques son "sorpresas predecibles", que aprovechan las debilidades en las estrategias y capacidades de la organización para materializarse.

El cibercrimen es la mayor amenaza para todas las organizaciones y personas del mundo, y uno de los mayores males de la humanidad. El impacto en la sociedad se refleja en los números. Según las proyecciones de distintos analistas, el delito cibernético le costará al mundo más de $ 6 Trillones de dólares anuales para 2021. Esto representa la mayor transferencia de riqueza económica en la historia, convirtiéndolo en una actividad ilegal más rentable que el comercio global de todas las principales drogas ilegales combinadas. Ante este nefasto motivador, la cantidad y sofisticación de amenazas cibernéticas crece cada día. La guerra entre los ciberdelincuentes y los expertos en ciberseguridad es una especie de carrera armamentista, en la que tanto los vectores de ataque como las defensas evolucionan continuamente, haciendo imposible una defensa perfecta. Poniendo a las organizaciones en una situación de riesgo constante.

En este contexto de vulnerabilidad, al sufrir un ciberataque, ¿tiene algún sentido acaso el ocultar o divulgar la menor cantidad de información posible sobre el evento? Lo que puede parecer apto para conservar la imagen y restar importancia al verdadero alcance del riesgo, no lo es de cara a la prevención, ya que las mejores prácticas para responder a los ciberataques terminan sin compartirse, y las demás organizaciones no pueden aprender de los ciberataques o qué pueden hacer para evitarlos. Finalmente, hay que tener en cuenta que en un panorama de alto riesgo, el quid pro quo juega a favor y no en contra, ya que la experiencia de otro puede ayudar a la proactividad de la organización de la cual soy parte.

La oportunidad

Hay una famosa frase de Albert Einstein que dice “Locura es hacer lo mismo una y otra vez esperando obtener resultados diferentes”. La ciberseguridad se asemeja cada día más a un entorno VUCA, donde la volatilidad, incertidumbre, complejidad y ambigüedad, son la normalidad. En este contexto, seguir con los antiguos paradigmas de la fortificación mediante el uso de tecnología casi exclusivamente, la excesiva orientación al cumplimiento normativo, la relegación de la gestión de ciber riesgo ante las urgentes necesidades de la disponibilidad inmediata y las salidas a producción a cualquier costo, además de carecer totalmente de sentido, brindan a las amenazas un caldo de cultivo donde crecen, se reproducen y manifiestan en plena libertad.

La oportunidad para las organizaciones es tomar conciencia y realizar un cambio fundamental de mentalidad, transformando las percepciones de la ciberseguridad de operativa a estratégica, de reactiva a proactiva, y de impulsada por amenazas y cumplimiento a impulsada por oportunidades. Tomar en serio las ciberamenazas en los niveles más altos de toma de decisiones y convertir la estrategia de ciberseguridad en una ventaja competitiva.

Una estrategia de ciberseguridad madura proporciona una base para asegurar los activos críticos y los procesos comerciales, mejorar el aprendizaje organizacional, detectar y capturar nuevas oportunidades estratégicas. Posicionar a la Tecnología de Información y a la Ciberseguridad como un generador de valor, en lugar de un centro de costos, aprovechando los eventos, la capacidad de prevención y resiliencia, para fortalecer la posición estratégica de la organización. Tomar conciencia que la ciberdefensa realmente nunca es 100% y que la única vía de gestión es liderar un ciclo de mejora continua, que permita evolucionar de manera constante los procesos, tecnologías y personas, con el propósito de alcanzar nuevos estándares de conciencia y madurez.

Como muchos han dicho, la reciente coyuntura sanitaria y las necesidades de trabajo a distancia, han acelerado aún más la digitalización. Hoy nuestra sociedad depende cada vez más de lo digital, y las organizaciones son protagonistas activas de la vida digital de cada una de las personas. El poseer una estrategia efectiva en ciberseguridad, muestra además que las organizaciones toman conciencia de cómo interactúan con la sociedad en general y cómo se preocupan de que los espacios digitales sean cada día más confiables, ya que esos mismos espacios son los que posibilitan que la sociedad moderna pueda existir.

21 vistas

CHILE - ARGENTINA - PERU - ESPAÑA