GKSD - stock.adobe.com

Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

La seguridad necesita ‘operacionalizarse’

La seguridad no puede ser una actividad; necesita ser parte de la estrategia de negocios y estar incluida en las operaciones diarias de una empresa, sea con un equipo propio o con un socio que le ayude con ello.

Según cifras estimadas por Gartner, la inversión global en seguridad de la información en el año 2017 fue de aproximadamente 85 mil millones de dólares, que representan un valor récord y un aumento del 7% en comparación con la inversión en 2016. Para este año, se calcula que esta inversión alcanzará los 93 mil millones de dólares.

Sin embargo, 2017 también fue el período en que presenciamos récords en términos de pérdidas causadas por los ataques cibernéticos. Algunos estudios indican que se ha reducido el número de incidentes, pero el impacto aumentó significativamente. El ejemplo que mejor ilustra esto es el ramsonware que, solo con los casos más públicos como WannaCry y Petya/notPetya, generó pérdidas estimadas entre 5 mil y 10 mil millones de dólares. Hubo casos significativos, como los reportados por las compañías navieras que perdieron cientos de millones de dólares y por los ensambladores de automóviles que tuvieron sus fábricas paradas durante días. Analistas prevén que las pérdidas totales generados por crímenes y fraudes cibernéticos alcanzarán billones de dólares al año.

La pregunta que surge es: A pesar de las inversiones crecentes en seguridad, ¿cómo, los ataques siguen ocurriendo y de manera más agresiva?

Lamentablemente, la respuesta no es trivial, porque incluye enfoques diferentes. Pero, sin duda, un punto importante es que el crimen cibernético se ha convertido en un negocio muy rentable para los criminales de diferentes partes del mundo. Olvide el tráfico de armas y drogas; el negocio con la mejor relación riesgo/recompensa para las organizaciones criminales es actualmente el crimen cibernético. En ese sentido, por más que crezcan las inversiones en seguridad, rivalizarán con la alta capitalización y la organización de bandas mundiales de criminales que se han especializado en el tema. Incluso hay una cadena de valor con software malintencionado, distribuidores, invasores, modelos de negocio con alquiler como servicio, compra de licencias, etc. En suma, altos niveles de sofisticación técnica y comercial.

Pero eso no significa que no hay nada por hacer, por el contrario. Si tomamos como ejemplo justamente los ataques más conocidos y citados arriba, se percibe que eran conocidas las vulnerabilidades explotadas para causar los daños. Las empresas fueron víctimas por fallar en tareas simples, como la gestión de actualizaciones (patch management) de sus plataformas más comunes (Windows). Además, muchos ataques son sofisticados en términos tecnológicos, pero sencillos en el enfoque, como un "simple" phishing.

Por lo tanto, hay otra importante lección a ser aprendida: La seguridad no tiene que ver solo con herramientas criptográficas sofisticadas, biometría y otras técnicas de autenticación multifactorial, inteligencia artificial y aprendizaje automático, capacidad analítica, entre otras técnicas para predicción, detección y respuesta a incidentes. No tiene que ver solo con otras poderosas herramientas que tenemos disponibles hoy en día. Ellas son esenciales, pero no suficientes, si viejos controles –como procesos estructurados de gestión y personal calificado– no están presentes.

Por eso, certifique que su seguridad está siendo "operacionalizada" como debe ser. Si no está, y le faltan recursos para hacerlo –o incluso si no es su foco tenerlos– considere apoyarse en un socio de seguridad que pueda hacerlo. Hay muchas empresas conceptuadas no solo en materia de seguridad, sino éticas en cada aspecto de los negocios, que están comprometidas con el desarrollo de la carrera de sus profesionales y tienen la capacidad comprobada de entregar resultados durante trayectorias de años de prestación de servicios; estos pueden ser los socios ideales en esos momentos. Afortunadamente, hemos visto un creciente movimiento de búsqueda de excelencia operativa que, sin duda, contribuirá a la mayor maduración del mercado como un todo en el tema de seguridad.

Sobre el autor: Leonardo Carissimi es director de soluciones de seguridad de Unisys en América Latina

Este artículo se actualizó por última vez en junio 2018

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close