Un plan estratégico mitiga el riesgo en las organizaciones

Share

Por: Luis Fernando González Jefe de Producto Seguridad de Media Commerce

La falta de conciencia y conocimiento sobre la seguridad de la información, partidas presupuestarias mínimas, y escasez de talento humano especializado que elevan los costos al contratar profesionales cualificados en las organizaciones aumentan los riesgos cibernéticos en la región.

El secuestro de información o ransomware es uno de los mayores riesgos para las empresas. El estudio Cyber Risk & Information Security de Deloitte, en Latinoamérica, señala que el software malicioso, el secuestro de Información (Ransomware) y el Phishing se posicionan como los mayores riesgos /ataques informáticos. Entre los ataques identificados por la investigación, el 33% llegan por correo electrónico; un 30% a través de ataques de un sitio web malicioso; 23% de los ataques ocurren por debilidades en software que utilizan las empresas; 14% se dan por USB o dispositivos de almacenamiento infectados.

Los ataques y la apropiación de la información por parte de terceros, repercute en la reputación de las empresas y en pérdidas incuantificables en una organización. La mejor manera de prever este tipo de ataques es definir un plan alineado a los objetivos estratégicos de la organización en el que se considere un presupuesto adecuado, recursos, talento humano y una estrategia de seguridad de la información. Sin este plan, simplemente, se improvisa y atiende lo inmediato, más que atacar la raíz del problema.

Para desarrollar una propuesta exitosa en la implementación de una estrategia de seguridad de la información, la gerencia general debe convertirse en el principal sponsor e influenciador de la iniciativa, la misma que debe contemplar normativas y metodologías basadas en el riesgo. Aunque no se puede hablar de eliminar al 100% el riesgo o evitar un ataque informático, sí disminuye la ocurrencia de incidentes.

Hay una variedad de normativas y sistemas de seguridad de la información, por ejemplo, los Sistemas de Gestión de Seguridad de la Información basada en la norma ISO 27001, una norma estandarizada que habilita los requisitos para la identificación, verificación de los controles y establecer prioridades de tratamiento. También hay otros marcos de referencia de cibersesguridad como la NIST.  Todas esquematizan el cumplimiento de los pilares básicos de la ciberseguridad: confidencialidad, integridad, y disponibilidad de la información.

Para establecer un plan alineado a la organización, es necesario revisar los procesos estratégicos de la compañía, su visión, misión y analizar si dispone o no de certificaciones, luego de lo cual se debe trazar un plan transversal a los procesos de la organización.

El uso de matrices, por ejemplo, nos dará las pautas para identificar el nivel de madurez de ciberseguridad de nuestra organización, compararlos y definir la mejor estrategia con una línea de tiempo con objetivos a corto, mediano y largo plazo.

Debemos considerar que el 95% de los ataques informáticos se deben a errores humanos, de manera que en el presupuesto se debe contemplar acciones de corto plazo, como la colocación de protección de información en computadores de trabajo o portátiles de los colaboradores. Además, realizar un análisis detallado de las últimas herramientas tecnológicas en el mercado contra el cibercrimen y medir su potencial. Contar con soluciones como firewall y “end point”  de última generación,  seguridad para el correo electrónico.

Todas las herramientas que se definan en la estrategia de ciberseguridad deben estar comunicadas entre sí para obtener una respuesta ágil en caso de ataques.

Conceptos como la seguridad sincronizada, la respuesta automática a incidentes y la Inteligencia artificial aplicada a ciberseguridad juegan papeles importantes en el mejoramiento de la seguridad de los sistemas de empresas, instituciones y también de emprendedores.