Alinear el riesgo con la estrategia de negocio fortalece la madurez en ciberseguridad

Share

Durante la presentación sobre los Niveles de Madurez de la Ciberseguridad en el Ecuador, Esteban Lubensky, CEO de GMS, subrayó las amenazas más comunes que enfrentan las organizaciones en el país, destacando el ransomware, la ingeniería social (Business Email Compromise), el phishing, la extracción de datos, y los ataques de denegación de servicios como las principales preocupaciones.

Lubensky también mencionó que el presupuesto destinado a ciberseguridad en una organización varía considerablemente según el mercado, el tamaño de la empresa y la industria. Generalmente, se estima que entre un 5% y un 20% del presupuesto total de tecnología debería asignarse a ciberseguridad, dependiendo de cada organización.

El CEO de GMS enfatizó la importancia de que las empresas comiencen por mapear sus riesgos utilizando frameworks de mejores prácticas en seguridad. Estos marcos proporcionan una guía sobre los controles necesarios para mitigar los riesgos identificados.

Un problema común, según Lubensky, es que muchas empresas no están familiarizadas con conceptos fundamentales en ciberseguridad, como la gestión de usuarios privilegiados. Señalo que encuestas hacen referencia a que menos del 10% de los gerentes generales están al tanto de estos conceptos, lo que dificulta la asignación adecuada de recursos.

Para el ejecutivo, el bajo grado de madurez en ciberseguridad observado en algunas empresas importantes ha sorprendido a muchos. Lubensky señaló que el problema radica en la falta de conciencia y en la incapacidad de identificar los puntos ciegos en la seguridad de las organizaciones.

Alcanzar la madurez en ciberseguridad, explicó, comienza con la concientización en varios niveles. Para los usuarios finales, esto implica reconocer amenazas como el phishing. A nivel empresarial, es importante entender los riesgos existentes. Además, sin un mapeo adecuado de los riesgos, no es posible evaluar los controles implementados. “Muchas empresas creen erróneamente que con un buen firewall o antivirus están protegidas, sin considerar las vulnerabilidades en las aplicaciones adquiridas o desarrolladas, o en el uso de canales digitales para la entrega de sus servicios, o en la manera en que administran sus usuarios privilegiados, aspectos que a menudo no están en el radar”.

Finalmente, destacó que para que los CIOs y CISO puedan robustecer sus estrategias y avanzar en la madurez de la ciberseguridad en sus organizaciones, es necesario abordar el riesgo en conjunto con el negocio. “Identificar un riesgo sin un análisis adecuado o sin la comunicación necesaria puede llevar a que ese riesgo no reciba la prioridad que merece. Si existen brechas que no se visualizan correctamente, y cuando se abordan se hace de manera superficial sin considerar su impacto en el negocio, estas se perpetúan, y la empresa puede enfrentar múltiples problemas acumulados, dificultando el logro de la madurez en ciberseguridad deseada”.