Invertir en tecnología ayuda, pero no alcanza. La verdadera resistencia viene solo con una dedicación sostenida para crear una serie de capacidades estratégicas y desarrollar madurez en el campo de la seguridad informática.
Todos los ejecutivos saben que la cíberseguridad es un tema fundamental porque es central para proteger los activos y la reputación de la organización. Las empresas están invirtiendo más que nunca para conocer dónde son vulnerables, para implementar las últimas soluciones en seguridad y para contratar al talento necesario para contar con una fuerte cíber defensa.
Una investigación que realizaron integrantes de la consultora Bain
encuentra que 97% de las grandes firmas han ordenado auditorías o evaluaciones de cíberseguridad en los últimos tres años y que tres de cada cuatro tienen altos ejecutivos dedicados exclusivamente a ese tema, muchas veces un director ejecutivo en cíberseguridad.
A pesar de esa inversión, la investigación encuentra que muchas firmas siguen demasiado confiadas en la eficacia de sus procesos porque no terminan de comprender la complejidad del desafío.
Específicamente, muchas no están desarrollando las capacidades estratégicas de largo plazo esenciales para un sistema sólido de cíberseguridad.
Muchas de ellas se esfuerzan por cumplir con las mejores prácticas. Sólo 43% de los ejecutivos creen que sus firmas siguen las mejores prácticas en cíberseguridad, pero un análisis más profundo muestra que solo alrededor de 24% cumplen con los requisitos.
Esta brecha representa una gran cantidad de ejecutivos y compañías que creen que están mejor protegidos de lo que en realidad están. Mientras tanto, los cíberataques podrían costar a los negocios unos US$ 6 billones (millones de millones en español) anuales para 2021, el doble que en 2015.
Una y otra vez, surge un patrón conocido en al análisis post mortem de las violaciones de datos: a pesar de un alto nivel de conciencia entre los altos ejecutivos y de importantes inversiones en tecnología de cíberseguridad, las empresas siguen vulnerables y esas debilidades son aprovechadas sin consideración.
Un factor clave en muchas de esas violaciones es que los líderes no entienden las características de un buen plan de cíberseguridad y subestiman el rigor que es necesario aplicar para lograrlo. En consecuencia, encaran el tema a nivel táctico cumpliendo con los pasos, pero sin atender el trabajo serio de elaborar las profundas capacidades estratégicas necesarias para lograr una verdadera resiliencia en cíberseguridad.
Identificar las debilidades comunes
Hasta cierto punto, los ejecutivos parecen comprender los límites de su postura en cíberseguridad. En una encuesta reciente de la firma de seguridad FireEye, algo más de la mitad de los que respondieron no cree que su organización respondería bien a un ciberataque. La preocupación está justificada. Una enorme cantidad de cosas tienen que funcionar bien para lograr resiliencia en ciberseguridad y esa complejidad abruma a los ejecutivos.
El primer lugar para ir a buscar soluciones suele ser la tecnología. Las grandes empresas usan una cantidad de productos y servicios para satisfacer sus necesidades e invierten en políticas y estándares para que sus defensas se mantengan proactivas y actualizadas.
El mayor desafío consiste en asegurar constancia para que esas políticas y estándares se apliquen adecuadamente en todos los niveles de las organizaciones globales complejas. Incluso la aplicación de un simple parche de seguridad puede llevarles meses o incluso años. Eso deja a los sistemas vulnerables en el ínterin. Algunas de las grandes violaciones de datos de los últimos años se produjeron por fallos en la actualización de los servidores web contra vulnerabilidades conocidas.
La tecnología es solamente una herramienta. Como hay tantos cíberataques que comienzan aprovechando vulnerabilidades en la conducta de los empleados, la educación también es sumamente importante. Menos de la mitad de las compañías encuestadas dan regularmente capacitación en ciberseguridad al personal y solo 55% brindan adecuada capacitación a sus profesionales en ciberseguridad.
Otra vulnerabilidad común es el riesgo que representan los terceros, pero menos de la mitad de las compañías evalúa regularmente la postura en seguridad que tienen sus proveedores y socios.