igor - Fotolia

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

No invertir en ciberseguridad tiene ‘ROI inverso’

Los ataques cibernéticos de mayo demuestran claramente el costo de escatimar en ciberseguridad. Desafortunadamente, el ROI para una amplia seguridad de TI no es tan transparente para algunas compañías, explica Michael Siegel, del MIT.

Si los ataques cibernéticos que infectaron computadoras en más de 150 países el mes pasado hicieron algo bueno, es que han mostrado a las organizaciones en todo el mundo cuánto cuesta no mantener los sistemas al día.

Michael Siegel, investigador principal del MIT Sloan School of Management, investiga la ciberseguridad e infraestructura de TI crítica, y ha encontrado que las empresas que invierten en ciberseguridad ahorran dinero a largo plazo. El virus WannaCry afectó a máquinas más antiguas sin el parche de seguridad correcto. Así que hay "ROI inverso por no hacer ciberseguridad", dijo.

"Para las empresas que lo hacen bien, no tuvieron interrupción; no tuvieron que considerar pagar un rescate. Para las empresas que no lo hacen bien, solo aprenden lo que cuesta no hacerlo bien".

Siegel es también el director asociado del Consorcio Interdisciplinario del MIT para Mejorar la Seguridad Cibernética de las Infraestructuras Críticas, lanzado hace dos años para aumentar la concienciación sobre la necesidad de ceñir los sistemas informáticos para los ciberataques. El moderó un panel de discusión entre los líderes de negocios y de seguridad de TI en el MIT Sloan CIO Symposium en Cambridge, Massachusetts. El tema no podría ser más oportuno: Cómo medir el ROI para las inversiones en seguridad cibernética.

Eso es difícil de hacer, en parte porque ha habido relativamente pocos "eventos" de ciberseguridad a gran escala a medida que las organizaciones se han ido transformando como negocios digitales, trasladando las operaciones de TI a la nube y transformando los modelos de negocio, dijo Siegel.

"Así que no hemos tenido tanta experiencia para saber si la forma en que medimos las cosas y la forma en que nos protegemos contra ellas se sostiene en todo tipo de condiciones", dijo.

Las grandes corporaciones, dijo, están "razonablemente por delante de la curva" al medir el riesgo, comunicarlo al consejo y luego invirtiendo en ciberseguridad. Para las empresas más pequeñas, sin embargo, "es una historia completamente diferente".

Nuestro portal hermano SearchCIO habló con Siegel antes de la conferencia del MIT sobre otra lección que los ciberataques pueden enseñar a las organizaciones grandes y pequeñas, la insidiosa innovación que los ciberdelincuentes de hoy están mostrando y lo que se necesita para que la gente piense seriamente acerca de la ciberseguridad. Aquí hay extractos de esa conversación.

Los recientes ataques mundiales de ransomware han sido vistos como un punto de inflexión para la preparación en seguridad cibernética, lo que ha llevado a muchas organizaciones a revisar las inversiones en seguridad de redes y dotación de personal. ¿Es eso lo que se necesita?

Michael Siegel: Claramente, hay una discusión sobre el ROI inverso de no hacer ciberseguridad. Se hizo muy, muy claro [que] el ataque y los patrones de ataque estaban en máquinas e instituciones antiguas que no habían parchado algo que estaba disponible durante varios meses. Así que usted puede revisar toda su política de seguridad cibernética, y puede llegar a ese nivel. Pero realmente esto se trataba de mantener su software con licencia, y actual, y parchar cosas.

Para las empresas que lo hacen bien, no tienen interrupciones; no tenían que considerar pagar un rescate. Para las empresas que no lo hacen bien, solo aprenden lo que cuesta no hacerlo bien.

La verdadera lección que hay que aprender es que hay mucho potencial para el grande. Y la pregunta es, ¿cómo las organizaciones se preparan y entienden con respecto al ROI, y entonces cómo lo tratamos como sociedad?

¿Las organizaciones gastan lo suficiente en ciberseguridad? ¿Y están usando la información correcta para hacer inversiones?

Siegel: En nuestro consorcio, trabajamos con muchas organizaciones de primer nivel; las grandes empresas que están en los servicios financieros están por lo menos bastante adelantadas; energía y otras áreas tienen planes claros, métricas claras.

No es una ciencia perfecta. Hemos tenido –aunque parecen un montón de [brechas de seguridad cibernética]– en última instancia, muy pocos eventos durante un período considerablemente más largo de digitalización. Así que no hemos tenido tanta experiencia para saber si la forma en que medimos las cosas y la forma en que nos defendemos contra ellas se mantiene en todo tipo de condiciones.

Creo que las empresas que lideran en esta área están haciendo lo mejor que pueden para medir y comunicar sobre el riesgo. Es como otros riesgos que las organizaciones enfrentan, ya sea operacionales o de crédito o riesgos naturales. Se ha convertido en un riesgo, y están haciendo lo mejor para evaluarlo, para poner las cosas en su lugar, para gestionar ese riesgo, ya se trate de políticas internas o políticas en forma de seguro.

Es una historia totalmente diferente cuando se baja a las pequeñas y medianas empresas. No son tan sofisticados. Ellos están haciendo tal vez algunas de las cosas operativas en cuanto a tecnologías y firewalls, [pero no] es claro que entienden completamente la formación necesaria, y así sucesivamente. Pero, en la junta, los problemas permanecen.

Esas organizaciones pequeñas y medianas, ¿qué tipo de cosas pueden hacer para convencer a los miembros de la junta de que hagan las inversiones adecuadas y quién debería tomar la iniciativa?

Siegel: Es interesante, hay un poco de separación entre los departamentos de tecnología y lo que en las grandes empresas se llamaría el CISO –jefe de seguridad de la información– o el CIO, y el director de riesgos. Por lo tanto, el director de riesgos, o quizás el CFO en algunas organizaciones, sería el que examinara y evaluara, por ejemplo, las pólizas de seguros para lo cibernético. Sin embargo, el CISO es quien realmente opera la organización que está instalando cosas que están en riesgo. Ahora hay una separación entre esos dos.

En las organizaciones más pequeñas, su director financiero es el que tiene que decir: 'OK, ¿estamos haciendo una política grande sobre el ciberseguro?'. Pienso en el CFO sentado allí y diciendo: ‘Bueno, tenemos errores y omisiones, tenemos responsabilidad general; ahora ¿qué pasa con lo cibernético?’. ¿Pero están haciendo esa pregunta? Si usted tiene un CFO en una empresa mediana o una empresa más pequeña que comienza a pensar en el riesgo, en términos de qué otros riesgos tienen y la gestión de esos riesgos, entonces creo que está empezando a conseguir una empresa que tiene la potencial sofisticación o interés en la gestión del riesgo cibernético.

https://cdn.ttgtmedia.com/rms/onlineImages/siegel_worldrealestate_desktop.jpg

Pie de foto: Michael Siegel, científico de investigación principal en MIT Sloan School of Management, habla en el MIT World Real Estate Forum en Cambridge, Massachussets.

¿Qué tan innovadores son los ciberdelincuentes? ¿Y la tecnología de seguridad cibernética se mantiene con ellos?

Siegel: Bueno, la sensación general es que estamos mejorando, y están mejorando más rápido. Más y más personas se están poniendo muy positivas sobre las tecnologías que se están desarrollando y lo que somos capaces de hacer. Pero lo que en realidad hace es poner aún más presión sobre el eslabón más débil: el factor humano. Usted puede crear el mejor firewall y tener los mejores enfoques para las contraseñas. Pero si alguien puede obtener las credenciales adecuadas, y simplemente inicia sesión y hace las cosas correctas –como usted ha visto en las brechas de Target o de T.J. Maxx– si usted puede hacer ese tipo de cosas, muy poco de esa tecnología va a ser útil.

Así que creo que estamos mejorando mucho, y mucha gente expresa que estamos mejorando mucho. Y, de hecho, la tecnología podría ir a 90 y tanto por ciento, pero solo pone más presión sobre el punto débil. Depende de qué estudio lea, pero alrededor de más del 60 por ciento de todas las brechas tiene alguna participación de una persona que inadvertidamente deja a la gente entrar en su sistema.

Las habilidades de ingeniería social de los atacantes son cada vez más inteligentes y listas: son sitios de suplantación de identidad; el phishing se está volviendo realmente bueno; me refiero a realmente bueno. La gente me pregunta: '¿Qué puedo hacer? ¿Es inútil?’. Yo digo: '¿Sabe qué? De alguna manera es inútil. Pero lo más importante es que, simplemente no haga clic en las cosas. Si hace clic en cosas que realmente no mira con atención o no necesita hacer clic, esa es la forma principal de exponerse’.

¿Se necesita un cambio de mentalidad para contrarrestar los ataques cibernéticos?

Siegel: Sí, hace falta. Hablé con una organización en un ejercicio de phishing para los ejecutivos. En el ejercicio de phishing, decía: ‘Este es un correo electrónico de phishing. Si hace clic en este enlace, dañará su computadora'. Y todavía tenían gente que hacía clic en el enlace. ¿Y por qué es eso? Realmente va a lo que somos. Somos como científicos, tenemos a este científico en nosotros. Cuando le pregunté [a alguien que hizo clic en el enlace] qué pasó, dijo: ‘Quería ver qué pasaría’.

La gente pone la ciberseguridad en una caja. Necesitamos más ingenieros, y necesitamos más informáticos. Ya estamos cortos entre un millón y dos millones, y ciertamente para 2020 [faltarán] dos millones de ingenieros de seguridad solo en este país. Pero realmente todo eso no debería ser el argumento. El argumento es que no todos vamos a ser informáticos e ingenieros, pero todos vamos a usar una computadora. Esta es una cosa social para enseñar, aquí que subyaciendo en nuestra sociedad tiene que haber una narrativa pública de seguridad cibernética.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close