La ciberseguridad es un viaje, no un destino. Este mantra ha definido gran parte de mi carrera y guía mi forma de abordar los retos de proteger a las personas y las organizaciones en un mundo cada vez más digital. La ciberseguridad sigue evolucionando; he sido testigo de su inmensa transformación a lo largo de los años y siempre se ha mantenido una constante: lo básico importa.
Cuando entré por primera vez en este campo, las amenazas parecían más localizadas. Desde el principio, me cautivaron los entresijos técnicos de la seguridad de los sistemas y la comprensión de cómo podían romperse. Pero durante mi estancia en Seguridad Nacional, mi perspectiva cambió. La ciberseguridad se convirtió en algo más que un reto técnico y lo que estaba en juego dejó de ser hipotético o de pequeña escala. Las amenazas se hicieron globales y los riesgos fueron devastadores. Entonces tenía claro, como ahora, que una base sólida en ciberhigiene es fundamental para crear resiliencia.
Qué significa la ciberhigiene para mí
Piense en la ciberhigiene como en la higiene personal. Cada día sigue una rutina: cepillarse los dientes, ducharse, usar desodorante; tareas básicas, pero esenciales, para garantizar la salud y el bienestar. La ciberhigiene no es diferente. Se trata de las prácticas y los hábitos rutinarios que protegen los activos digitales y la identidad. En el caso de los individuos, esto puede significar el uso de contraseñas seguras o la activación de la autenticación de varios factores (MFA). Para las organizaciones, se trata de mantener actualizados los sistemas, gestionar los controles de acceso y disponer de protocolos claros.
En Jovia, hemos adoptado la idea de que la alfabetización financiera y cibernética son dos caras de la misma moneda. En el mundo actual, los activos no están solo en la cartera; están en las transacciones digitales, los pagos de Venmo y las transferencias de Zelle. Desafortunadamente, estas comodidades conllevan riesgos y he visto a demasiadas personas perder los ahorros de toda su vida por no comprender los principios básicos de la protección en línea. Educar a nuestros miembros y a las comunidades a las que servimos en materia de ciberhigiene es una de las formas más eficaces de marcar la diferencia.
Aumento de la resiliencia mediante la ciberhigiene
Cuando se trata de organizaciones, una ciberhigiene eficaz se reduce a unos pocos principios clave:
- Adopción de la autenticación de varios factores en todas partes
La MFA es una de las defensas más simples y eficaces contra el acceso no autorizado. Sin embargo, no deja de sorprenderme la frecuencia con que se pasa por alto. Si dispone de la MFA, utilícela, ya sea para cuentas personales como Facebook o sistemas críticos de su organización. - Uso de gestores de contraseñas
Las contraseñas fuertes y exclusivas para cada cuenta no son negociables en el panorama actual de las amenazas. Un gestor de contraseñas no solo simplifica esta tarea, sino que garantiza que no se reutilizan las credenciales, una vulnerabilidad habitual que aprovechan los atacantes. - Refuerzo de la seguridad del correo electrónico
El correo electrónico sigue siendo uno de los principales puntos de entrada para los atacantes. Las puertas de enlace web y las herramientas de comprobación de enlaces pueden ayudar, pero el objetivo debe ser evitar que los enlaces peligrosos lleguen a los usuarios. No basta con enseñar a los empleados a evitar hacer clic en enlaces de correo electrónico; las organizaciones necesitan sistemas que mitiguen estos riesgos de forma proactiva. - Hincapié en el mantenimiento rutinario
Del mismo modo que no se saltaría una cita con el médico, no debería ignorar las actualizaciones periódicas del sistema. Las vulnerabilidades se corrigen constantemente y estar al día es esencial para mantener a raya a los adversarios.
Afrontamiento de lo inevitable
A pesar de nuestros esfuerzos, las vulneraciones ocurren. Llevo años diciendo que la cuestión no es si su organización será atacada, sino con qué rapidez podrá detectarlo y contenerlo. Detectar y responder a una intrusión puede llevar varios días, a veces semanas. Eso es inaceptable. En Jovia, nuestro objetivo es identificar las amenazas en cuestión de horas, no semanas o meses, y contenerlas antes de que se agraven.
Esta mentalidad proactiva surge de lo que yo llamo “cambiar las reglas” de la ciberseguridad. De la misma manera en que el capitán Kirk se negó a aceptar el escenario imbatible de Kobayashi Maru, los equipos de ciberseguridad deben redefinir el éxito. No se trata de prevenir todos los ataques, eso es imposible. Se trata de minimizar el impacto, reducir el tiempo de detección y responder con decisión.
Llamada a una mayor transparencia
Una de mis mayores frustraciones en este campo es la falta de transparencia cuando se producen vulneraciones. Con demasiada frecuencia, las organizaciones gestionan los incidentes en silencio, a la sombra de las preocupaciones legales, lo que significa que, como industria, no aprendemos de estos sucesos. Imagine que cada vulneración se trata como un accidente aéreo, con investigaciones exhaustivas y resultados publicados. Las lecciones que aprenderíamos podrían ayudar a prevenir futuros incidentes. En cambio, se repiten los mismos errores porque dudamos demasiado en compartir lo que salió mal.
La ciberseguridad como responsabilidad compartida
En última instancia, la ciberseguridad es una cuestión de colaboración. Se trata de que organizaciones, proveedores e incluso clientes trabajen juntos para crear un ecosistema digital más seguro. En Jovia, integramos la supervisión de riesgos de terceros y la inteligencia sobre amenazas para garantizar que nuestros proveedores cumplan nuestras normas de seguridad. Pero es mucho más que eso; se trata de asociaciones. Cuando oímos a través de nuestros canales de inteligencia que un vendedor está en el punto de mira, actuamos inmediatamente. Nos acercamos para comprender los riesgos y apoyar los esfuerzos de mitigación. Ese es el tipo de enfoque proactivo y de colaboración que necesitamos en todos los ámbitos.
La batalla contra las ciberamenazas puede parecer abrumadora, pero no estamos indefensos. Mediante la dominación de los principios básicos de la ciberhigiene y la adopción de una mentalidad proactiva, podemos invertir esta tendencia. Comienza con la curiosidad: hacer preguntas, cuestionar supuestos y adelantarse a los adversarios. Crece a través de la colaboración, dentro de las organizaciones, con los socios y entre sectores. Y se sustenta en un compromiso de resiliencia para ser mejores mañana de lo que somos hoy. La ciberseguridad puede ser un viaje sin destino final, pero es un viaje que merece la pena emprender.
¿Quiere escuchar el podcast de Threat Vector con Dan? Puede hacerlo aquí.
