Muchas empresas cuando se les habla de un plan de ciberseguridad lo interpretan como un coste adicional difícil de amortizar y justificar. Y se entiende. Hay varios factores de por medio que lo podrían respaldar: la falta de conocimiento en materia de Seguridad Informática, la falta de previsión, la falta de formación a usuarios, la falta de asesores especializados de confianza y sobre todo el asumir riesgos de forma innecesaria o lo que es peor, no conocer los verdaderos riesgos y amenazas de la organización.
La falta de conocimiento en Seguridad Informática, es un problema generalizado. Muchas organizaciones aplican políticas de hardening o bastionado y eso es tan sólo una parte del ecosistema llamado Ciberseguridad. Tener un firewall y un WAF no quiere decir que ya hemos cubierto todas las necesidades, se trata de ir más allá de un mantenimiento preventivo.La falta de previsión, sin duda lo interpreto como vivir desconectado de lo que actualmente está ocurriendo. Se habla continuamente de ciberataques, de vulnerabilidades, etc. sino prevemos que nos puede pasar en cualquier momento o pensamos que todo lo estamos haciendo muy bien cometemos un error muy importante.
Otro factor que influye, es la falta de formación a los usuarios. Si no formamos al eslabón más débil de la cadena, estamos perdidos. Aunque tengamos la mejor herramienta automática o el mejor aplicativo de Inteligencia Artificial.
Estas plataformas conseguirán detener los comportamientos anómalos, pero no las actuaciones normales. Es decir, los usuarios autorizados podrán realizar acciones autorizadas lo que no quiere decir que sean malintencionadas.
La falta de asesores especializados "de confianza" que ayuden de inicio a fin en cualquier proyecto o prueba y asesoren a una organización para una mejor toma de decisiones. Puede resultar complejo encontrarlo al inicio, y es comprensible, porque algunas empresas del sector intentan convencernos de que la ciberseguridad ha nacido cuando ellos han empezado sus actividades y no es así.
La práctica de proteger la información digital, dispositivos y activos siempre ha estado con nosotros desde que se crearon las redes digitales.
Finalmente, el desconocimiento sobre los verdaderos riesgos y amenazas para la organización, los cuales no se deducirán a través de una herramienta automática, producto de una plataforma cloud o IA. Estas herramientas pueden ayudar, pero se debe ir más allá.
Se trata de una revisión dedicada y de un proceso de mejora continua con métricas que justifiquen una evolución y mejora.
Si está involucionando, no gaste en un Ferrari para tenerlo como en un museo, mejor organice lo de dentro, optimice sus recursos, subcontrate "manos" y tras ello, realice pasos claros hacia objetivos seguros.
Y de cuánto tiempo dispone?, el reloj ya va en su contra. Tic Toc, Tic Toc.
Autor: Héctor A. Pauta - GWAPT, CEH, CEH Instructor, ISO 27001 L.A.
Dpto. de Auditoría
