Ante el nuevo panorama de amenazas de seguridad, mejorar la gestión de riesgos es clave a la hora de hacerles frente. El constante incremento de ciberataques y la sofisticación de los métodos para llevarlos a cabo hace necesario una nueva aproximación que refuerce la ciberseguridad.
Algunos expertos apuntan que hay que ser optimistas respecto al futuro de la ciberseguridad. El nuevo escenario surgido a raíz de la pandemia fue una prueba de fuego para muchas organizaciones y responsables de TI y de seguridad que tuvieron que adaptar sus estrategias de seguridad a la nueva situación.
No en vano, el pasado año, los ciberataques a las empresas aumentaron en un 150%, según se desprende el estudio ‘The Global Cibersecurity Outlook 2022’ del WEF (Foro Económico Mundial). Además, este organismo apunta que se produjeron una media de 270 ciberataques por organización, lo que supone un incremento del 31% en comparación con el año anterior.
Esta resiliencia ha llevado a una maduración del enfoque en la ciberseguridad, mejorando la articulación de las ciberamenazas e impulsando la colaboración entre sectores. Pero aún queda mucho por hacer.
Los constantes cambios en el panorama de las amenazas y la proliferación de los peligros a los que estamos expuestos, hace más necesario que nunca revisar las estrategias de seguridad. Es el momento perfecto para, en un contexto de buen gobierno corporativo, abordar la gestión de riesgos con un enfoque innovador acorde a los nuevos requerimientos.
Estas tres consideraciones serán clave a la hora de llevarlo a cabo con el propósito de garantizar la seguridad en las organizaciones de hoy en día.
Ciberseguridad acorde a los nuevos escenarios
A medida que la TI se ha ido adaptando a las nuevas necesidades con la evolución del trabajo remoto, las nuevas experiencias de los clientes y los procesos de negocio en evolución, las superficies de ataque han aumentado. Esto ha contribuido a un número récord de amenazas durante el pasado año, mientras que el número de vulnerabilidades alcanzó un máximo histórico.
Sin embargo, hay otra lectura detrás estos números. Durante años se ha hablado del mismo viejo paradigma del ‘atacante y la víctima’. En esta relación de uno a uno, el atacante apunta a una víctima y tiene éxito o no. Hoy proliferan más lo que podrían denominarse ‘ataques de uno a muchos’.
Los ataques a la cadena de suministro no son algo nuevo, pero estamos viendo un aumento en su sofisticación y ambición. Los atacantes se han dado cuenta de que no necesitan estar constantemente uno a uno. Pueden encontrar un centro común que conecte a cientos o incluso miles de víctimas potenciales y comprometerlo. Por casi el mismo esfuerzo, tienen un aumento significativo en el ROI.
En este sentido, a medida que las organizaciones buscan gestionar el riesgo de los proveedores, los costes y la tensión geopolítica en un mundo pospandémico, las interdependencias empiezan a aumentar. Comprender estas dependencias de los proveedores es fundamental para gestionar riesgos de manera efectiva y minimizar el impacto operativo de las ciberamenazas.
La colaboración será clave
Esta creciente complejidad también hace que la colaboración sea más importante. Solo a través de la colaboración con las organizaciones adecuadas del sector público y privado se puede llegar a comprender cómo operan los atacantes.
Parte de esto implica que las organizaciones piensen en lo que es útil y lo que no para divulgar de la forma más efectiva. Pero, ¿qué es lo relevante que se puede compartir entre organizaciones?
Hoy en día mucho de lo que se comparte gira en torno a si una organización ha sido víctima de los ciberdelincuentes o no. Si las infracciones son casi inevitables, deberíamos centrarnos más en compartir los hallazgos de las infracciones y los resultados a posteriori, que ayudarán a otros a la hora de protegerse.
La forma en la que la CISA, la agencia de Seguridad de Infraestructura y Ciberseguridad estadounidense, coordinó el intercambio de información durante los primeros días de la saga Log4Shell es un ejemplo muy útil. La agencia hizo un trabajo notable organizando y compartiendo información de diferentes fuentes de la industria.
Es muy importante aprender de este ejemplo porque, como explicó Ian Pratt, jefe global de seguridad para sistemas personales de HP, las organizaciones de ciberdelincuentes funcionan como negocios. Se han convertido en expertos en compartir inteligencia, información y herramientas para promover sus objetivos.
Las personas, un punto clave en la gestión de riesgos
A raíz de esta reflexión, hay que tener en cuenta otro punto crítico. Diversos estudios apuntan que faltan más de dos millones de profesionales en ciberseguridad en todo el mundo. Esto pone en evidencia la necesidad de que las organizaciones apuesten más por el talento, tanto en su captación como en su retención.
Existe la oportunidad de hacer que la carpa de ciberseguridad sea más grande al mirar más allá de la industria atrayendo a más profesionales que no necesariamente tienen que tener una formación tradicional en seguridad. No son necesarios títulos universitarios para cada función.
O también se puede apostar por profesionales que se encuentran a mitad o terminando sus carreras pero que tienen un amplio conjunto de habilidades en áreas como la gestión de riesgos o la comunicación.
La diversidad también es fundamental, pero queda mucho trabajo por hacer, especialmente en la incorporación de mujeres en puestos de alto nivel de responsabilidad en el sector de la ciberseguridad. Un reciente estudio de HP apuntaba a este aspecto como clave para fomentar una fuerza laboral diversa y atraer nuevos talentos.
Y los empleadores deben mejorar en el aprovechamiento de esta gran reserva de talento sin explotar. La buena noticia es que las salas de juntas están comenzando a apreciar la importancia de la diversidad y la ciberseguridad, al igual que los CISO están comenzando a hablar sobre ciberseguridad en el lenguaje del riesgo empresarial. Estos son algunos motivos definitivos que invitan al optimismo en este sector.
Sin duda, todo esto contribuirá a que cada vez más, los líderes en ciberseguridad tomen las decisiones más correctas para las empresas en términos de protección gracias al diseño de una estrategia específica eficaz.