La ciberseguridad diligente requiere más de un mes de nuestra atención
Rami Sass, cofundador y director ejecutivo de Mend.
getty
El Mes de Concientización sobre Seguridad Cibernética (CAM) marca un llamado a la acción del gobierno y el sector privado para crear conciencia tanto para las personas como para las organizaciones para que comprendan los riesgos del delito cibernético y la piratería. A través de una programación y temas diversos, CAM ayuda a cuantificar los riesgos asociados con prácticas laxas, o inexistentes, de seguridad de datos o información (InfoSec) entre consumidores y empresas.
En octubre pasado, vimos a líderes de la industria reconocer la iniciativa, ahora en su decimoctavo año. Pero, lamentablemente, destacar la ciberseguridad solo durante el mes de octubre perjudica a muchas personas y empresas. ¿Por qué? Sugiere limitar estas iniciativas a un mes del año y deja la puerta abierta para que los ciberdelincuentes se aprovechen de las organizaciones que descuidan las medidas de seguridad críticas durante los once meses restantes.
La conciencia de ciberseguridad es importante, pero es solo el primer paso de una iniciativa de ciberseguridad impactante. Las organizaciones duraderas entienden la importancia de un programa continuo durante todo el año y hacen de la ciberseguridad una prioridad principal a través de la inversión y la cultura.
Así es como las empresas mejor equipadas piensan sobre la ciberseguridad y lo que los líderes deberían considerar para el nuevo año.
La conciencia es el primer paso, pero la acción marca la diferencia.
La ciberseguridad es una industria en evolución, y los atacantes cambian constantemente sus técnicas para estar un paso por delante; es imposible completar verdaderamente la debida diligencia en torno a la ciberseguridad en el lapso de un mes.
Como tal, la seguridad cibernética requiere un esfuerzo continuo, inversión, aceptación por parte del liderazgo ejecutivo y culturas conscientes de la seguridad dentro de las organizaciones.
Por el lado de la ejecución, esto requiere mucho trabajo preliminar, especialmente para las empresas de software. Piense en la gran cantidad de código que impulsa cualquier aplicación o servicio. Es fundamental que los equipos estén al tanto de dónde pueden surgir amenazas. Pero las iniciativas de ciberseguridad también deben expandirse más allá del equipo de ciberseguridad o de TI: los ciberdelincuentes y los piratas informáticos pueden obtener acceso a datos críticos debido a cualquier cosa, desde contraseñas débiles de los empleados hasta una mala higiene de los datos.
Esto no quiere decir que un tiempo formal dedicado a la concientización sobre seguridad cibernética no sea importante; de hecho, octubre es un excelente momento para que las empresas dediquen tiempo a proteger sus activos. Es justo antes de la temporada navideña cuando los ciberdelincuentes se protegen de sus apuestas por una supervisión poco estricta y se aprovechan de los equipos de seguridad esqueléticos. Pero estas amenazas no desaparecen cuando termina la temporada navideña. Los ciberdelincuentes siempre están buscando una forma de entrar, por lo que las empresas deben ofrecer capacitación y exigir pruebas de estrés durante todo el año.
Invierta en las herramientas adecuadas, protéjase contra las amenazas actuales.
La implementación de un procedimiento de seguridad efectivo comienza con asegurarse de tener las herramientas adecuadas para abordar el problema actual que desea abordar y contar con un protocolo para posibles problemas futuros.
Es importante que las organizaciones revisen sus soluciones actuales y determinen cuáles deben actualizarse o reemplazarse; una herramienta lanzada hace algunos años puede haber sido excelente en ese momento, pero es posible que no haya tenido cambios significativos o actualizaciones realizadas para mantenerse actualizada.
Como parte de este proceso, es importante considerar qué procesos y trabajo manual podrían reemplazarse potencialmente con soluciones automatizadas. Gracias a los avances en la industria, una serie de procesos mundanos, como la identificación de vulnerabilidades críticas, se automatizan para permitir que los equipos se concentren en tareas más importantes.
Invertir en estas herramientas es especialmente importante dado el creciente volumen de aplicaciones en las que confían las organizaciones hoy en día. Las empresas utilizan cientos de aplicaciones en todos los departamentos y este número continúa creciendo año tras año. Y según Forrester Research, las aplicaciones también son la principal causa de infracciones externas, ya que los ciberdelincuentes las ven como uno de los puntos de entrada más fáciles de atacar. A medida que aumentan los ataques a la cadena de suministro, pasar por alto la seguridad de las aplicaciones (AppSec) no es una opción.
La ciberseguridad es un factor en la planificación empresarial, comenzando desde arriba.
A medida que las amenazas se vuelven más comunes y sofisticadas, la función de seguridad debe extenderse más allá de los perímetros del departamento de TI, lo que requiere la atención tanto del C-suite como de la Junta. Sin embargo, una quinta parte de los CISO reporta poco contacto con los CEO en sus respectivas empresas.
Incluso si la junta directiva y el director ejecutivo de una organización entienden el valor y la necesidad de las prácticas de seguridad de la información, un liderazgo experimentado que comprenda cómo priorizar el trabajo en torno al inventario de códigos (o listas de materiales de software) y la deuda técnica, además de mantenerse al tanto de las vulnerabilidades conocidas y las amenazas potenciales en el ecosistema, son cruciales para ayudar a las organizaciones a permanecer seguras.
Póngase manos a la obra: la seguridad integral significa crear una cultura consciente de la seguridad.
Construir una cultura consciente de la seguridad y fomentar un flujo de trabajo colaborativo entre los desarrolladores y los equipos de seguridad fortalece el programa de ciberseguridad de cualquier organización.
La capacitación constante, las pruebas de phishing y los requisitos de autenticación multifactor son tácticas excelentes para ayudar a construir una cultura empresarial que valore la seguridad y aliente a los empleados a comprender mejor el papel que desempeñan en la seguridad.
Las empresas que no se mantienen al día con las prácticas de seguridad cibernética al mismo ritmo que la innovación y el desarrollo de nuevos productos en toda su organización corren el riesgo de perder millones de dólares, sin mencionar las reputaciones empañadas y las responsabilidades potenciales en torno a los datos confidenciales de los consumidores.
Conclusiones clave
Una deficiencia grave de CAM tal como es ahora es que posiciona la seguridad cibernética como una iniciativa única, pero esto no podría estar más lejos de la realidad.
Proteger una organización significa una inversión y un esfuerzo constantes durante todo el año. También significa un poco de esfuerzo y presupuesto, pero estos esfuerzos seguramente darán sus frutos en caso de que surja otra vulnerabilidad catastrófica como Spring4Shell o Log4j.
No sea un blanco fácil al limitar sus tareas de seguridad cibernética a la conciencia superficial durante solo un mes del año. Póngase a trabajar: asegure la aceptación a nivel ejecutivo, invierta en las herramientas que su equipo necesita y trabaje para tejer seguridad en toda su cultura organizacional.
El Consejo de Tecnología de Forbes es una comunidad a la que solo se puede acceder por invitación para CIO, CTO y ejecutivos de tecnología de clase mundial. ¿Califico?
