Cómo alinear las estrategias de seguridad y de empresa
Algunos economistas ya hablan de una posible recesión global en el futuro próximo. Si tenemos en cuenta lo ocurrido en el pasado, esto es muy mala señal en lo que a niveles de ciberdelincuencia se refiere, pues hay pruebas de que las condiciones macroeconómicas pueden tener consecuencias directas sobre ellos. Por ejemplo, en tiempos de dificultades económicas, puede producirse un aumento de los ciberdelitos porque la gente recurre a actividades ilegales para ganar dinero. Durante la crisis económica mundial de 2008-2009 y la recesión que le siguió, unos investigadores advirtieron que las tasas de ciberdelincuencia se habían disparado. Su informe, que se centraba exclusivamente en ciberdelitos financieros (incluido el robo de identidad), atribuía este aumento a la proliferación de nuevas tecnologías en regiones desfavorecidas y al hecho de que hoy hay más personas que nunca con conocimientos informáticos.
Ciberdelincuencia: cómo adaptarse a una realidad en constante cambio
La ciberdelincuencia no para de evolucionar. Para adelantarse a los ciberdelincuentes, las organizaciones deben esforzarse por seguir siendo ágiles de manera que, en caso necesario, puedan adoptar rápidamente tecnologías y estrategias nuevas que les permitan correr más que los atacantes. En tiempos de recesión económica, cuando lo están pasando mal, las empresas se sienten muy tentadas de buscar formas de recortar gastos.
Es entonces cuando muchos directores financieros escudriñan todas y cada una de las partidas presupuestarias para ver dónde se podría ahorrar algo. Cualquier gasto no esencial del que se pueda prescindir (o que se pueda dejar para más adelante) quedará fuera. Esto puede mermar, y mucho, el presupuesto de ciberseguridad en organizaciones en las que la seguridad se ve más que nada como un centro de costes.
Sin embargo, también hay directores financieros (aunque menos) que consideran que contar con una buena ciberseguridad puede ahorrarles dinero a la larga, pues, a fin de cuentas, el objetivo de la mayoría de las inversiones en seguridad es, precisamente, evitar posibles problemas. Por todo esto, no es fácil calcular la rentabilidad de la inversión; pero, sabiendo que es muy probable que los índices de ciberdelincuencia aumenten en tiempos de crisis, estos directivos son conscientes de que recortar en ciberseguridad podría acabar saliéndoles aún más caro.
Invertir en ciberseguridad: las visiones cortoplacistas son sinónimo de pérdidas
Las inversiones en ciberseguridad son acumulativas y, gracias a ellas, con el tiempo las organizaciones se van haciendo cada vez más resilientes frente a las ciberamenazas. Por eso, una vez que una organización empieza a hacer recortes en sus programas de ciberseguridad, puede tardar muchos años en volver a los niveles de madurez cibernética que tenía antes de decidir apretarse el cinturón.
Cualquier recorte en el presupuesto de ciberseguridad —con el que no conseguiría más que un pequeño ahorro a corto plazo— puede convertirla en una presa fácil para los ciberdelincuentes que estén buscando activamente su próxima víctima. Es más, en caso de sufrir un ataque, las pérdidas podrían eclipsar cualquier ahorro que pudiera haber logrado ajustando el presupuesto. De ahí que sea tan importante trabajar codo con codo con los directores de seguridad de la información y los equipos de seguridad para conocer las herramientas que más utilizan para seguir el ritmo a las ciberamenazas, que no descansan y se ven catalizadas por las competencias, los recursos económicos y la motivación de los adversarios.
La eficiencia de las organizaciones depende en gran medida de sus decisiones en materia de seguridad
La complejidad puede hacer que gestionar y proteger los sistemas y datos de las organizaciones resulte muy complicado. Llevar un seguimiento de todos los componentes y garantizar que estén debidamente configurados y protegidos puede ser todo un reto, al igual que detectar posibles amenazas y darles respuesta.
Por otro lado, la complejidad puede entorpecer la comunicación dentro de la organización y, por lo tanto, la coordinación de las iniciativas de ciberseguridad. Pongamos, por ejemplo, que en una organización unos equipos o departamentos se encargan de unas partes de la estrategia de ciberseguridad y otros, de otras. En un caso así, garantizar que todo el mundo esté colaborando y siguiendo los mismos procesos y procedimientos puede ser complicado.
A la vista de las circunstancias, es fundamental que las organizaciones gestionen la complejidad de sus iniciativas de ciberseguridad con celo para proteger sus datos y sistemas de forma eficaz. Esto podría requerir implementar procesos y tecnologías que ayuden, por un lado, a reducir la complejidad y optimizar la gestión de la ciberseguridad y, por el otro, a formar a los empleados para que conozcan y respeten las prácticas recomendadas.
En estos tiempos de incertidumbre macroeconómica, la consolidación se vuelve una prioridad absoluta, ya que es necesario unificar las decenas de herramientas que utilizan las organizaciones en una sola plataforma o, en palabras de Gartner, una malla de ciberseguridad. El analista cree que, de aquí a 2024, las organizaciones que adopten una arquitectura de malla de ciberseguridad reducirán el impacto económico de los incidentes de seguridaden un 90 % de media. 1 un porcentaje que ningún director financiero debería desestimar.
La ciberresiliencia no tiene por qué ser directamente proporcional al gasto. La clave está en estudiar concienzudamente a qué dedicar el presupuesto de ciberseguridad, sin gastar de más y centrándose en los activos que representan el mayor riesgo, que no son otros que las joyas de la corona de su empresa, por lo que hay que identificarlas y saber quién tiene acceso a ellas y cómo se están protegiendo. Lo mejor es trabajar con los responsables de la seguridad para decidir entre todos qué plataformas mejorarían el estado de la seguridad en la organización.
1. Felix Gaehtgens y otros, Top Strategic Technology Trends for 2022: Cybersecurity Mesh (disponible en inglés), Gartner, 18 de octubre de 2021.