Desarrollar una estrategia robusta y ágil de seguridad es una necesidad crítica para cualquier organización o compañía, sea privada o pública.
En la sociedad del conocimiento, la información es poder y un activo que marca la diferencia en los negocios. A la par, el cibercrimen cada vez desarrolla técnicas de ataque y espionaje más complejas. En este escenario el único que puede cuidar la seguridad y el negocio es el departamento de seguridad de las organizaciones.
Un ataque cibernético a una empresa puede tener costos muy altos a nivel financiero, dirección, imagen y reputación de marca. Basta ver los ejemplos de Home Depot, Target, JP Morgan, Sony, Liverpool, The Hacking Team, entre otras tantas empresas. Por esto, desarrollar una estrategia robusta y ágil de seguridad es una necesidad crítica para cualquier organización o compañía, sea privada o pública. Y en este escenario los directores de seguridad (CISO por sus siglas en inglés) son las personas idóneas para implementar las medidas necesarias.
“En la mayoría de las empresas grandes y medianas a nivel global, los CISO están presentes en las mesas de dirección. Muchas decisiones económicas, de marketing, de producto tienen que ver con seguridad. Y en este sentido, se los incluye a diferentes conversaciones en las que no están relacionados de una forma directa, pero el ángulo de seguridad aparece en muchos temas. Por esto, contar con un apersona especializada en esta materia mejora las decisiones y resultados”, explica Javier Agüera, Chief Scientist Devices de Silent Circle.
“La seguridad debe ser pensada como una inversión de las empresas, no un gasto administrativo. La convergencia de riesgo del negocio digital es inevitable, y el impacto financiero y de reputación de una violación de datos es evidente. Este tipo de conversación tiene que estar en el radar del director de información (CIO por sus siglas en inglés), y es por esto que el área o responsable de seguridad debe reportar, en primer lugar, a una persona que se preocupa y puede hacer una diferencia”, señala Marcos Nehme, Director Technical Division Latin America & Caribbean de RSA.
El Instituto Ponemon, en su reporte “Global Megatrends in Security“, destaca que el 78% de los líderes de seguridad le explican la estrategia de ciberseguridad a seguir a la mesa directiva. Aunque destaca que los CISO deben realizar una presentación más efectiva para conseguir la aprobación y, sobre todo, los recursos económicos para proteger a la empresa.
Por esto, el especialista de RSA agrega que gran parte del debate se ha desarrollado en la posición en la organización de la función de seguridad: ¿IT?, ¿Legal?, ¿Finanzas?, ¿Operaciones? “Tiene que reportar a alguien que se preocupe que el negocio está protegido”, sentencia el especialista de RSA.
Sin embargo, cuando hablamos de las pequeñas y medianas empresas (PyME) el panorama cambia. Generalmente las PyME construyen su infraestructura de TI en base a la necesidad o crecimiento del negocio, donde la seguridad digital no figura en ninguna de sus prioridades. O en algunos casos, creen que con instalar un antivirus gratis ya están protegiendo el perímetro digital de la empresa, algo que está muy alejado de la realidad y sobre todo, de la seguridad real. Esto genera brechas de seguridad que pueden ser aprovechadas por los cibercriminales y por la competencia para espiar o robar datos sensibles.
“Esta situación es problemática en dos sentidos: por un lado, aunque se quiere invertir en seguridad, no se cuenta con el conocimiento necesario para adquirir las soluciones y servicios vitales para la empresa; y por el otro, no cuentan con una política ni estrategia de educación necesaria para generar una cultura de seguridad en sus empleados”, destaca el especialista en seguridad y privacidad digital de Silent Circle.
Se debe tener presente que en el momento que información confidencial sale a la luz, una empresa puede quedar parada por un período corto. En caso de las grandes empresas, pueden sobrevivir y continuar a pesar de esto, pero si una PyME deja de vender o trabajar por una semana o un mes prácticamente corre el riesgo de cerrar su negocio. Sin contar la pérdida de clientes y el daño a la imagen y reputación.
Por esto es importante por un lado, entender que la seguridad tiene su costo cuyo retorno de inversión se verá en la continuidad del negocio, lo que no significa que sea inaccesible, y por el otro, que existen servicios de consultoría en seguridad. Se pueden contratar servicios o a un especialista para que realice un análisis del estado del arte de la seguridad empresarial, al mismo tiempo que pueda generar políticas o un entrenamiento para los empleados.