Aunque parezca increíble, las creencias son las armas más poderosas para vulnerar seguridad patrimonial, personal y de datos. Y esto aplica en la seguridad cibernética.
En muchas empresas mexicanas la ciberseguridad es un conjunto de misterios y mitos. Está plagada de falsas creencias sobre los tipos de amenazas que son más relevantes, la cantidad de gasto requerido para proteger los datos críticos e incluso sobre qué conjuntos de datos tienen mayor riesgo.
En la seguridad cibernética las percepciones se convierten en hechos y los programas de ciberseguridad son menos exitosos de lo que podrían ser hasta en 66%.
Así, cuando la incidencia de infracciones es leve, los líderes empresariales suelen recortar el presupuesto de ciberseguridad. Pero cuando se documentan frecuentes amenazas, se asumen gastos de más en nuevas tecnologías. La ciberseguridad se maneja entonces de manera intuitiva.
Incluso, se desconocen soluciones no técnicas para mantener seguros los datos y otros activos corporativos. Todo se delega a la tecnología y se suele caer en cuatro errores comunes: proteger todos los activos de la organización de la misma manera, asumir que el mayor gasto equivale a más seguridad, enfocarse sólo en hackers externos y creer que la tecnología de punta es sinónimo de mayor seguridad.
Sólo estos cuatro mitos representan la vulnerabilidad de los datos de una organización.
Por ejemplo, desestimar el valor de cada uno de los datos y manejarlos de manera indiferenciada reduce la capacidad de protección de información sensible, como los datos de crédito en un banco, al tratar de proteger los números de facturas genéricas o los documentos de pólizas que las empresas generan internamente. Las empresas no tienen recursos infinitos para proteger todos .
Por otra parte, no existe una correlación directa entre el gasto en ciberseguridad y el éxito que reporta. Esto se debe a que no protegen los activos correctos o discrepancias de percepción entre los líderes empresariales y los de ciberseguridad. También lesiona la seguridad en línea la falta de transparencia y confianza entre la C-suite y la organización de TI.
Ahora, ignorar que hay amenazas significativas dentro de las paredes corporativas pueden ser un eslabón débil en el programa de ciberseguridad de una empresa. Las amenazas desde dentro de la organización representan alrededor del 43 por ciento de las violaciones de datos.2
La cuarta creencia peligrosa, asumir que mayor tecnología es sinónimo de más seguridad es contrario a la evidencia: más del 70 por ciento de los ciberataques globales provienen de delincuentes comunes, motivados financieramente, que utilizan tácticas técnicamente simples, como correos electrónicos de phishing.3
Cuando las empresas invierten en tecnologías avanzadas, pero no entienden la mejor manera de usarlas o no pueden encontrar administradores capacitados para administrarlas, crean ineficiencias significativas dentro del equipo de ciberseguridad.
Aunque es recomendable explorar las últimas y mejores tecnologías, lo esencial es que las empresas establezcan y mantengan buenos protocolos y prácticas de seguridad para complementar las tecnologías emergentes.
En contra de las creencias peligrosas se impone el sentido común: desarrollar un sólido programa de administración de parches. y la eliminación gradual del software para el que los proveedores ya no proporcionan actualizaciones de seguridad.
Para terminar la cultura mítica en la seguridad cibernética existen además dos temas de control: cómo administrar las compensaciones asociadas con la ciberseguridad y cómo discutir los problemas y protocolos de ciberseguridad de manera más efectiva.
Suscríbete aquí para recibir directo en tu correo nuestras newsletters sobre noticias del día, opinión, opciones para el fin de semana, Qatar 2022 y muchas opciones más.
