Ante el aumento alarmante de los ciberataques, es crucial que las empresas estén preparadas para hacer frente a esta creciente amenaza. Los datos hablan por sí mismos: solo en el primer trimestre de 2023, se registraron 107 879 incidentes de ciberdelincuencia en toda España. Esto se traduce en 1,198 ataques diarios o, incluso más alarmante, 50 ataques cada hora. Estos ataques han experimentado un aumento del 13.8% en comparación con el año anterior, lo que nos advierte sobre la importancia de mantenernos vigilantes. En vista de estas cifras impactantes, es fundamental abordar los desafíos que las empresas enfrentan en términos de ciberseguridad y considerar cómo abordar esta amenaza desde diversas perspectivas.
En Impact Group somo expertos en desarrollar proyectos de Ciberseguridad en empresas Fortune 500. Nuestro proyecto de "Hacking Ético" ha detectado en el último año en empresas internacionales más de 480.000 brechas de seguridad.
Debido a esto hemos identificado cinco desafíos críticos que las organizaciones y sus líderes deben tomar en cuenta al abordar esta creciente amenaza.
1. Reconocer que el Riesgo Cibernético es una Propiedad Compartida
Este desafío nos exige abandonar la idea de que la ciberseguridad es una preocupación puramente técnica y limitada al ámbito de los expertos en seguridad. En cambio, debemos fomentar una cultura de seguridad en toda la organización que permita comprender que el riesgo cibernético afecta de manera directa al núcleo de nuestro negocio. La ciberseguridad no es únicamente responsabilidad del Director de Seguridad de la Información (CISO), sino que involucra a todos, desde el CEO hasta el Director Financiero de la empresa. ¿Pero cómo logramos la implicación de todos? Una forma efectiva de abordar este desafío es asegurarse de que todos los líderes empresariales compartan un lenguaje común. Esto les permitirá comprender los riesgos vinculados al uso de la tecnología y cómo esos riesgos pueden influir en los objetivos de la empresa. De esta forma, estarán mejor informados para la toma decisiones.
2. La gestión del riesgo cibernético no se limita solo a aspectos técnicos. Implica varios aspectos, como la estrategia, las personas, la cultura interna, los procesos y hasta los proveedores
Es fundamental considerar todas estas dimensiones al gestionar el riesgo cibernético. Esto significa que todos los empleados, desde la alta dirección hasta los trabajadores en todos los niveles, deben estar comprometidos. Es necesario establecer reglas y políticas claras, proporcionar formación a todos los empleados, alentar a todos a detectar y reportar actividades sospechosas y ofrecer capacitación sobre cómo manejar incidentes. Además, es vital que nuestros procesos y estrategia se centren en proteger lo más valioso para la empresa y evaluar el riesgo cibernético al elegir proveedores.
3. Establecer un Plan de Manejo de Riesgos Cibernéticos o Plan de Seguridad
Es esencial abordar el riesgo cibernético de manera planificada y dinámica, en lugar de esperar hasta el último momento. Esto implica responder a tres preguntas clave: ¿Qué acciones se tomarán y cómo puede evolucionar el riesgo cibernético? ¿Cómo se implementarán estas acciones? ¿Quién será responsable de cada aspecto crítico?
Para gestionar eficazmente los ciberataques, podemos utilizar un modelo ampliamente aceptado conocido como las 'Tres Líneas de Defensa' (3LoD). En resumen, la primera línea implica gestionar los riesgos de manera activa (identificando y reduciendo riesgos operativos). La segunda línea se encarga de establecer normas, garantizar la consideración de amenazas relevantes para nuestros objetivos de negocio y supervisar los riesgos. La tercera línea implica auditorías internas para proporcionar una evaluación independiente de la eficacia de nuestra supervisión de riesgos y sistema de control.
4. Asegurar la Confianza de Accionistas, Clientes y Partes Interesadas
Además de gestionar de manera efectiva los riesgos tecnológicos, es vital comunicar y garantizar que todos entiendan lo que estamos haciendo. Por ejemplo, los inversores necesitan una divulgación clara de la información, por lo que debemos incluir detalles sobre ciberseguridad en nuestros informes corporativos, como la memoria anual, ESG, etc. También, los clientes están cada vez más preocupados por la seguridad de sus datos, por lo que es útil obtener certificaciones de terceros independientes que evalúen la efectividad de nuestras medidas de acuerdo con estándares internacionales. Los reguladores también requieren una comunicación eficaz que vaya más allá de las regulaciones habituales. Por ello, debemos involucrar a nuestros proveedores, colaboradores y empleados en este proceso.
5. Adaptación Continua a la Evolución de las Amenazas
La ciberseguridad es un campo en constante evolución, con nuevas amenazas y técnicas emergiendo constantemente. El quinto desafío consiste en la necesidad de adaptarse y mantenerse al día con las amenazas cibernéticas en constante cambio. Esto implica estar al tanto de las últimas tendencias y amenazas en ciberseguridad, así como ajustar y mejorar constantemente las defensas y estrategias de seguridad para hacer frente a las amenazas emergentes. La adaptación continua es esencial para mantener la seguridad de la empresa en un entorno cibernético en constante transformación.
Lo fundamental es que los líderes de la empresa tomen la responsabilidad y guíen la estrategia de ciberseguridad.
Este informe subraya la necesidad de considerar el riesgo cibernético como una parte integral de la organización debido al uso cada vez mayor de la tecnología. La responsabilidad de la ciberseguridad debe recaer en el Comité de Dirección. En resumen, el éxito en la gestión de la ciberseguridad en tu empresa depende de que los líderes asuman esta responsabilidad y dirijan directamente la estrategia sin intermediarios.
Humberto De Cal Arriaga
CEO en Impact Group
