Las brechas de datos y los problemas de seguridad han estado en los titulares de las noticias durante décadas. A pesar de la amplia concienciación sobre la necesidad de mejorar las prácticas de seguridad, las empresas siguen siendo reticentes a realizar cambios en sus entornos de TI que les ayudarían a responder de una manera más efectiva a las amenazas actuales. Incluso cuando la seguridad depende de actividades relativamente simples, como la instalación de las últimas actualizaciones de software en los dispositivos de punto final, algunas compañías siguen sin encontrar el tiempo y la energía necesarios para realizarlas.
Hay varias razones por las cuales las empresas no adoptan las medidas necesarias para garantizar una seguridad de TI adecuada. A continuación figuran algunos de estos motivos y más adelante se ofrecen consejos para vencer la resistencia de las organizaciones a la hora de lograr una ciberseguridad integral.
1. Recursos
Si bien las empresas a menudo perciben un beneficio claro en sus inversiones generales en TI, para conseguir una seguridad de TI integral también es necesario invertir en las herramientas y tecnologías adecuadas para protegerse de las amenazas modernas. Esto resulta especialmente importante a la luz de la adopción masiva de tecnologías y servicios en la nube. Muchas empresas han realizado importantes inversiones en la seguridad de su infraestructura local y esto las hace reacias a destinar más dinero a soluciones de seguridad adicionales (pero necesarias) para la nube.
2. Conocimientos
Uno de los mayores desafíos para cualquier empresa que desee reforzar su nivel de seguridad es la contratación de profesionales con los conocimientos adecuados. Hoy en día existe una gran escasez de personal cualificado en el sector tecnológico. De hecho, según un estudio de (ISC), actualmente hay 2,93 millones de puestos de seguridad de TI vacantes en todo el mundo.
3. Negación
Por desgracia, muchas empresas aún piensan que no son un objetivo probable para los ciberdelincuentes y, por lo tanto, que no deben preocuparse tanto por la ciberseguridad como otras. En parte, esto deriva de la falsa creencia de que las compañías más grandes o conocidas tienen más probabilidades de ser atacadas. Sin embargo, los cibercriminales fijan su objetivo en cualquier empresa que esté mal protegida o maneje datos confidenciales, con independencia de su tamaño o importancia.
4. Inercia
Hay muchas empresas que tienen una visión un tanto localista de la ciberseguridad. Como resultado, pueden subestimar la urgencia de la necesidad de adoptar herramientas y prácticas de seguridad relevantes, especialmente en la nube. Si bien las herramientas y las mejores prácticas locales son necesarias en la mayoría de las empresas, la suposición de que se pueden aplicar directamente a la nube y los entornos de uso de dispositivos personales en el trabajo (BYOD) puede ser peligrosa.
Las prácticas recomendadas
Las empresas no suelen ser víctimas deviolaciones de la seguridad de sus datos porque la protección adecuadaestuviera fuera de su alcance. Existen soluciones muy específicas para resolvertodo tipo de vulnerabilidades y necesidades de seguridad. Como regla general,las empresas deben adoptar medidas de protección en diversas áreasfundamentales. Las prácticas recomendadas incluyen:
1. Incorporar a los mejores profesionalesde la seguridad: a pesar del reto que suponeencontrar profesionales de seguridad con experiencia en un sector en el quefalta personal cualificado, vale la pena hacer un esfuerzo. La experienciapráctica en ciberseguridad es fundamental y las empresas pueden conseguirlamediante la contratación de nuevos talentos, la formación en habilidadescomplementarias o transversales de sus propios equipos, o el trabajo conproveedores externos.
2. Cubrir los aspectos básicos: como mínimo, las empresas deben instalar todas las actualizaciones yparches de software necesarios tan pronto como estén disponibles y en todos losdispositivos de sus empleados. Esta medida de seguridad tan elemental puede eliminarbrechas de seguridad existentes y reducir las posibilidades de sufrir unaviolación de la seguridad de los datos.
3. Formara los empleados: uno delos mejores métodos para reforzar la protección es adoptar una mentalidad de"la seguridad primero" en toda la empresa. Esto comienza por elliderazgo directivo, que debe fijar un listón de exigencia elevado para todos. Sirealizan formaciones periódicas sobre aspectos como la forma de detectar correoselectrónicos de phishing o cómo compartir datos de manera segura, las empresaspueden reducir significativamente la probabilidad de una brecha.
4.Comprender sus debilidades: las empresasdeben identificar sus vulnerabilidades de antemano; descubrirlas tras sufrir unabrecha de datos puede ser la forma más costosa de poner a prueba su estrategiade seguridad. Por ejemplo, en las empresas que utilizan plataformas deinfraestructura como servicio, esto implica el uso de herramientas para identificary abordar de forma proactiva las configuraciones erróneas en los entornos denube que pueden poner en riesgo los datos.
5. No dejarsecegar por las innovaciones: muchos usuariosestán dispuestos a adoptar con entusiasmo cualquier nueva tecnología o métodode trabajo, como los servicios en la nube o el BYOD, para mejorar suproductividad. El problema es que, a menudo, esto sucede antes de que lasempresas hayan podido aprobar su adopción y actualizar su política deseguridad. Es más seguro para las empresas anticiparse y habilitar este tipo detecnologías de un modo responsable y seguro, en lugar de tener que apresurarse paravalidarlas cuando ya se están usando en la organización.
6. Adquirirlas mejores herramientas de seguridad: en cada empresa, hay determinadas herramientas que sonesenciales para conseguir un nivel de seguridad adecuado en la nube. Esto puedeincluir soluciones para la prevención de pérdidas de datos (DLP), análisis decomportamiento de usuarios y entidades (UEBA), cifrado de búsqueda,autenticación multifactor (MFA) y otras. Como la lista puede ser amplia, las empresasdeben contar con soluciones de seguridad sólidas e integrales que ofrezcan todala protección que necesitan para garantizar la seguridad de sus datos.
Todos hemos sido testigos de las consecuencias de las violaciones de la seguridad de los datos y los costes que puede tener la falta de protección de la información confidencial. Pensar "esto nunca le pasará a mi empresa" es erróneo y peligroso. Es hora de que las empresas presten atención a las advertencias de las noticias y adopten un enfoque más proactivo respecto a la seguridad cibernética.
Autor: Michael Scheffler, vicepresidente adjunto para EMEA de Bitglass