Un analista de la firma Gartner recientemente dijo en una publicación que en el mundo estamos en una etapa de poca madurez en ciberseguridad. También, algunos expertos en el tema nos dijeron que específicamente en Latinoamérica hay una ‘falsa sensación de seguridad digital’, la cual nos hace creer que en esta región no suceden ataques digitales graves.
Hay muchos motivos para que las empresas no sean maduras en seguridad. Es por eso que el medio informativo CSO Online (que pertenece a la firma de consultoría IDG) nos explica tres signos de falsa madurez en seguridad que pueden estar confundiendo a las empresas a la hora de buscar estar protegidas.
1. Confiar en la prevención
Muchas organizaciones dependen en la prevención. Ponen su fe en sus sistemas de antivirus, administración de vulnerabilidades, sistemas de prevención de intrusión y ‘firewalls’. Pero los hackers siempre han sabido cómo detectar debilidades en estas soluciones de seguridad, y siguen siendo muy innovadores a la hora de evadir sistemas de seguridad.
La prevención de ataques es solo uno de los tres pilares del tratamiento de amenazas, dice el medio. Los otros tres son detección y respuesta. La idea es lograr prevenir la mayor cantidad de ataques posible. Pero luego debemos detectar y responder ante lo que no pudimos prevenir.
2. Depender de la tecnología
Esta falla va de la mano con la primera. Las empresas suelen suplementar la prevención de ataques con técnicas de monitoreo. El problema con el monitoreo es que se despliega con el mismo pensamiento: esperar que la tecnología advierta sobre amenazas. Estas advertencias suelen despertarse cuando el ataque ya está sucediendo.
Un buen sistema de seguridad y monitoreo requiere de personas y de procesos, dice el medio. Las tecnologías nos pueden ayudar a monitorear los datos en la medida en que los volúmenes de información son cada vez más grandes. Pero estos sistemas arrojan muchos falsos positivos, que se pueden prevenir con el ojo humano.
3. Las gerencias no están involucradas
Para poder tener la tecnología, el equipo y los procesos correctos dependen de una cosa: las gerencias. Si los ejecutivos entienden que la ciberseguridad es crítica para el negocio, la organización tendrá una mayor preocupación en ella. Además, la ciberseguridad requiere de valor: muchos empleados pecan por omisión e ignorancia frente a los temas de seguridad digital.
Desafortunadamente, lo mismo pasa con el área directiva de las empresas. Ya hemos visto que los CEO y ejecutivos de las grandes empresas que sufren ataques digitales son obligados a renunciar, porque la responsabilidad cae sobre ellos. Las organizaciones maduras a nivel de ciberseguridad tienen ejecutivos interesados e involucrados en la seguridad digital, y están dispuestos a escuchar las propuestas de sus áreas de tecnología.