Durante 2021 pudimos atestiguar cómo se llevaron a cabo ataques cibernéticos de alto perfil como en los casos de Colonial Pipeline, de Steamship Authority of Massachusetts, JBS (la empacadora de carne más grande del mundo) y del Departamento de Policía Metropolitana de Washington DC, entre otros.
Los ataques de ransonware se han incrementado tanto en frecuencia como en sofisticación. Y como sabemos, agresiones de esta índole pueden interrumpir significativamente o incluso, cerrar la infraestructura crítica dando como resultado escasez, incremento del costo de bienes y servicios, pérdida financiera (debido al cierre de operaciones), y merma de dinero debido al pago del rescate a los piratas informáticos.
Como consecuencia de estas repercusiones, el enfoque en proteger las computadoras, las redes, los programas y los datos del acceso no autorizado y/o no intencionado, debe convertirse en una prioridad para todos los negocios e instituciones. Por ejemplo, en Washington, la Casa Blanca y el Congreso de los EE. UU. han hecho de la ciberseguridad un importante tema de política nacional.
El presidente Biden emitió la “Orden ejecutiva para mejorar la seguridad cibernética de la nación, en la que se solicitan varios cambios en la forma en la que ésta responde y se defiende de las vulneraciones cibernéticas, además de proclamar que “La prevención, detección, evaluación y solución de los incidentes cibernéticos, es una prioridad máxima y esencial para la seguridad nacional y económica”.
Adicionalmente a la orden ejecutiva, el presidente y los líderes del Congreso agregaron una serie de disposiciones relacionadas con la seguridad cibernética en el proyecto de ley de infraestructura.
Estadísticas para reflexionar
A pesar de que es clara la razón por la que hay que invertir en seguridad cibernética, aún hay empresas alrededor del mundo que no han comenzado, ni siquiera a planificar cómo es que lograrán contrarrestar a los delincuentes.
A continuación, algunas cifras que le darán un panorama mucho más completo del por qué, no se pueden escatimar recursos en la protección de los activos, del negocio:
- Una investigación reciente realizada por IBM encontró que para 2021 el costo total promedio de una violación de datos es de $ 4,24 millones, lo que representó un aumento de $3,86 con respecto al año anterior.
- El mismo estudio, reveló que actualmente, las industrias de atención médica, financiera y farmacéutica tienen el más alto costo de la filtración de datos por empresa, entre todas las industrias.
- Para 2021 los operadores del ransomware, REvil o Sodinokibi encabezaban la lista con más de 10 millones de dólares por el robo de datos.
- En tercer lugar, se ubicaba el grupo de hackers maliciosos, conocidos como DarkSide, que habían obtenido alrededor de 4 millones de dólares.
- De acuerdo con la consultora NCC Group, los ataques de cibersecuestro aumentaron un 92.7% de 2020 a 2021.
Inversión para proteger su negocio
El efecto de los ataques es el debilitamiento de las empresas, lo que obliga a las organizaciones de TI a garantizar que tanto su ciberseguridad, como la planificación de contingencias, puedan soportar un incidente grave.
La información central debe resguardarse dentro de un sistema de protección, físicamente aislado. Además, la detección de ransomware integrada en el NAS (almacenamiento conectado en red) puede analizar el comportamiento del usuario y las funciones de corrupción de archivos, enviar alarmas de eventos y proporcionar información del cliente para rastrear las fuentes, si fuera necesario.
Aunada a la protección de seguridad en el nivel de red, la infraestructura de almacenamiento profesional también debe tener capacidades de ataque antiransomware.
Bloomberg informa que se espera que el gasto en seguridad cibernética supere los $200 mil millones para 2024.
Sin embargo, la inversión no solo debe ser de carácter monetario, también habría que preguntarse si los CISO (Chief Information Security Officer) podrían aplicar inversiones cibernéticas de manera más efectiva, cuando se trata de proteger la gobernanza y los procesos.
Los resultados decepcionantes relacionados con inversiones que no dan los frutos esperados, podrían frenar a los líderes en futuras inversiones. Y las expectativas de rendimientos medibles de dichas inversiones cibernéticas son más altas que nunca.
Es un hecho que hay que basar las elecciones de financiación en el conjunto particular de riesgos y necesidades de la organización; sin embargo, las estrategias de inversión cibernética no son necesariamente intuitivas.
Por tanto, sería muy útil considerar las siguientes acciones:
#1 Utilice iniciativas cibernéticas para ayudar a crear y mantener valor, en lugar de simplemente proteger el valor
Frecuentemente, las inversiones cibernéticas son defensivas y reactivas. Si bien muchas organizaciones continúan enfocándose en la protección del valor, existe una necesidad cambiante de la creación de éste. Hay que trabajar estrechamente con los líderes de la organización para ayudar a acelerar la transformación digital, de tal forma que reduzca los costos, o bien, aumentar los ingresos, y al mismo tiempo, mantenerse al tanto de las amenazas en evolución.
Entre el 30% y el 40% de las inversiones cibernéticas deben destinarse a protección; alrededor del 30% en detección y otro 30% en respuesta y recuperación. Este enfoque equilibrado de la distribución de los recursos, debe informar cómo hay que priorizar el presupuesto y por qué. Es un buen planteamiento para hablar con los equipos de gestión sobre las decisiones que se han tomado.
Ésta es una de las razones por las que PwC creó la habilitación segura, diseñada para desbloquear el valor empresarial, a través de iniciativas cibernéticas.
Las compañías que emprenden este viaje, se centran en mejorar la experiencia del cliente/empleado, aumentar los ingresos y mejorar la gestión de costos. En la encuesta Global Digital Trust Insights de 2022 de PwC, más de la mitad (55%) de los directores ejecutivos eligieron objetivos más amplios y relacionados con el crecimiento de su equipo de seguridad, en lugar de expectativas más estrechas y a corto plazo de defensa y control.
#2 No permita que las soluciones tecnológicas determinen sus estrategias de inversión
Comprar productos o soluciones individuales sin tener un plan general para su uso, podría resultar en una combinación poco eficaz de herramientas. Algunas de ellas pueden tener funciones redundantes, no sincronizarse correctamente o no proporcionar una cobertura adecuada, lo que podría generar pérdida de tiempo y de dinero.
Su plan debe abordar cómo es que sus inversiones:
- Ayudan a garantizar la cobertura de sus mayores riesgos y mitigar las principales brechas
- Desarrollan la capacidad y la agilidad para luchar contra la próxima amenaza potencialmente desconocida
- Enlazan directamente con los resultados clave del negocio
Por ejemplo, las empresas suelen comprar soluciones independientes para la gestión del consentimiento, la administración de preferencias y la autenticación. En su lugar, deberían tratar la gestión de acceso e identidad del consumidor (CIAM) como un componente crítico para mejorar la experiencia de los clientes.
CIAM examina y verifica la identidad del usuario para ayudar a proteger las aplicaciones y los dispositivos, pero algunas de sus soluciones también brindan una visión integral de las preferencias y los comportamientos en línea de sus clientes, lo que le faculta personalizar las experiencias digitales, reducir las comunicaciones irrelevantes y mejorar las interacciones con los clientes.
Las ofertas más sofisticadas de CIAM brindan una gama completa de servicios para el consumidor, incluida la protección de la privacidad, la recopilación y el análisis de datos, así como la verificación de identidad, funciones antifraude y más. Éstos ayudan a resolver una serie de problemas comerciales, inspiran confianza en la marca e impulsan los esfuerzos para aumentar los ingresos.
En otro ejemplo, la confianza cero a menudo se vende como una solución, pero se entiende con mayor precisión como un principio de “Nunca confíes, siempre verifica” que informa la arquitectura y el programa de seguridad. La certidumbre basada en la confianza cero se basa en un sistema interconectado de soluciones y prácticas de seguridad que abarca todo el panorama digital: dispositivos informáticos, Internet de las cosas (IoT) y otros puntos finales.
Se aplica a la totalidad de las redes, incluida la planificación, el diseño, el mantenimiento y el monitoreo continuo, brindando una garantía al contextualizar continuamente a los usuarios, a los dispositivos y a otros elementos. En consecuencia, al construir una arquitectura de confianza cero, es esencial mantenerse enfocado en el juego final.
A medida que evalúa sus opciones de tecnología cibernética, no tenga miedo de desactivar aquella que resulta antigua y que puede causar ruido y complejidad adicional. Incluso, puede servir como un punto de entrada potencial para ataques y puede crear trabajo para los profesionales de seguridad que ya están abordando amenazas mayores.
#3 Adopte un enfoque de inversión basado en datos
Cuando se trata de inversiones cibernéticas, no existe una estrategia única para todos. No se deje llevar por el miedo, la incertidumbre o la duda. Su organización puede beneficiarse de programas y procesos diseñados específicamente para abordar sus necesidades de seguridad, independientemente de lo que hagan los competidores o de las tecnologías que llamen más la atención.
En la encuesta Global Digital Trust Insights 2022 de PwC, menos de uno de cada tres de los encuestados afirmó que ha integrado herramientas de análisis e inteligencia comercial en su modelo operativo, para tomar decisiones sobre inversiones cibernéticas y gestión de riesgos.
Estos encuestados obtuvieron la puntuación más baja en su capacidad para convertir los datos en información para la cuantificación del riesgo cibernético, el modelado de amenazas, la creación de escenarios y el análisis predictivo, todos críticos para tomar decisiones inteligentes sobre ciberseguridad.
La cuantificación del riesgo cibernético ayuda a las empresas a adoptar un enfoque sistemático para evaluar nuevas amenazas. Por ejemplo, permite que una empresa orientada a las adquisiciones, evalúe las oportunidades de negociación de forma más rápida y sistemática. Una institución financiera puede evaluar amenazas y vulnerabilidades, diaria o semanalmente para proteger millones de transacciones al día y mantenerse alerta sobre si sus controles son efectivos.
#4 Al embarcarse en la adopción de la nube, céntrese en la responsabilidad compartida
Las empresas, a menudo, no alcanzan su máximo potencial en las inversiones en la nube porque los CISO y los líderes de riesgo con frecuencia no logran colaborar de manera efectiva. De hecho, mientras que el 56% de los líderes ven la nube como una plataforma estratégica para el crecimiento y la innovación, el 53% de las empresas dicen que aún tienen que obtener un valor significativo de sus inversiones en esta plataforma, esto, con base en la Encuesta de negocios en la nube de EE. UU. de PwC.
Al cambiar de un sistema local a un sistema basado en la nube, se deben volver a evaluar las políticas y procedimientos existentes para determinar si las expectativas existentes se aplican a su entorno y qué ajustes pueden ser necesarios para adaptarse al modelo de responsabilidades compartidas.
La estrategia de esta plataforma debe alinearse con la comercial. Por lo tanto, la inversión debe ser lo suficientemente grande y estar debidamente enfocada en áreas como la gestión del cambio y el desarrollo de nuevos procesos. De lo contrario, se puede vislumbrar un ROI mediocre.
Es una realidad que, a pesar de la inicial resistencia y del rezago de algunos negocios, la seguridad se está volviendo, cada vez más, una prioridad para los líderes.
Con base en la encuesta de PwC, El 48% de los CIO dijeron que la ciberseguridad en la nube encabeza su lista de prioridades en el corto plazo. Un programa de seguridad bien planificado puede acelerar la migración a dicha plataforma. Asimismo, se debe diseñar el programa cuando comienzan los planes de migración, o incluso, antes.
No escatime en recursos ni económicos ni estratégicos, al momento de proteger sus datos y toda aquella información esencial para su organización. El cambio continúa y solo quienes sean capaces de actuar oportunamente, tienen posibilidades de éxito.
Fuentes de Consulta:
Dinero o su negocio: garantice que su estrategia de defensa contra el cibersecuestro de datos supere las interrupciones y las extorsiones. (Junio 8, 2022). Dinero o su negocio: garantice que su estrategia de defensa contra el cibersecuestro de datos supere las interrupciones y las extorsiones. CIO. Recuperado de:
https://cio.com.mx/dinero-o-su-negocio-garantice-que-su-estrategia-de-defensa-contra-el-cibersecuestro-de-datos-supere-las-interrupciones-y-las-extorsiones/
Investing in Cybersecurity. (Octubre 21, 2021). Investing in Cybersecurity. Nasdaq. Recuperado de: https://www.nasdaq.com/articles/investing-in-cybersecurity
Nocera, J. (Enero 13, 2022). Get smart on cyber investment strategies. PwC. Recuperado de:
https://www.pwc.com/us/en/tech-effect/cybersecurity/cyber-investment-strategies.html
Pérdidas por ransomware en 2021 ya superan los 60 mil bitcoins. (Julio 15, 2021). Pérdidas por ransomware en 2021 ya superan los 60 mil bitcoins. Criptonoticias. Recuperado de: https://www.criptonoticias.com/seguridad-bitcoin/perdidas-ransomware-2021-superan-60mil-bitcoins/