noticia

BT y KPMG alertan a las empresas sobre trampas para la seguridad cibernética

DC17-291 (10 de julio de 2017)

Invertir únicamente en productos de seguridad informática no es la solución milagrosa en la batalla contra el crimen cibernético

A raíz de los notorios ataques globales de ransomware como WannaCry y Petya, BT y KPMG hoy publicaron un nuevo informe de seguridad cibernética que ofrece consejos prácticos para empresas de todos los tamaños sobre cómo administrar mejor su camino de seguridad y convertirlo en una oportunidad comercial.

El nuevo informe, “El camino de seguridad cibernética: desde la negación hasta la oportunidad”, alerta a las empresas para que no caigan en trampas peligrosas ya se exponen a la complejidad de asegurar una empresa digital. Esto incluye quedar atascadas en las fases de “Negación” y “Preocupación” en un extremo del espectro, y en “Falsa confianza” y “Lecciones difíciles” en el otro extremo.

Mientras que el informe destaca que la inversión en tecnología como protección antivirus y firewalls es una buena práctica esencial de gestión al inicio del camino de seguridad, las empresas deben evitar desperdiciar dinero en productos de seguridad como acto reflejo. Esto se da especialmente en empresas que han madurado de la etapa de “negación” a la etapa de “preocupación” constante, donde invertir en lo último en tecnología puede ser visto como la solución mágica al problema. Este error común puede hacer que las empresas sean un blanco perfecto, no solo para los criminales cibernéticos, sino también para vendedores excesivamente celosos de la informática.

Las empresas primero deben evaluar sus controles actuales comparándolos con las mejores prácticas, tales como las pautas emitidas por el Centro Nacional de Seguridad Cibernética (National Cyber Security Centre, NCSC) del Reino Unido, para ayudar a identificar cualquier brecha y priorizar las áreas esenciales en las cuales invertir. Además, todos en la organización, desde el directorio para abajo, deben asumir la responsabilidad de mantener altos estándares de higiene cibernética y, al mismo tiempo, las empresas deben invertir en capacitaciones y concientizar al personal. Esto puede ayudar a convertir a los empleados del punto más débil en una cadena de seguridad al mejor activo de la empresa en la lucha para proteger los datos.

Mark Hughes, director ejecutivo de Seguridad de BT

La escala global de los recientes ataques de ransomware demostró la sorprendente velocidad a la cual incluso los más simples de los ataques se pueden propagar por el mundo. Muchas organizaciones podrían haber evitado estos ataques manteniendo mejores estándares de higiene cibernética y respetando los fundamentos correctamente. Estos incidentes globales nos recuerdan que toda empresa hoy, desde el comerciante más pequeño hasta las PYME y las grandes empresas multinacionales, debe asumir la gestión de la seguridad de su estado de TI, además de su personal y los procesos. La finalidad de este informe es ayudar a proteger la empresa digital mediante la navegación de las empresas por su camino de seguridad cibernética”.
- Mark Hughes, director ejecutivo de Seguridad de BT

David Ferbrache, director técnico en prácticas de seguridad cibernética de KPMG

El reciente aluvión de ataques cibernéticos hace que el riesgo cibernético se encuentre en primer lugar en la agenda empresarial y es por eso que se están haciendo inversiones. La comunidad empresarial debe evitar los actos reflejos ya que la seguridad cibernética es un camino, no existe una solución única para todos los problemas y lo importante es respetar los fundamentos, como revisiones y copias de seguridad, correctamente. Es importante construir una cultura de seguridad, concientizar al personal y recordar que la seguridad debe hacer posible los negocios, no evitarlos.

“Las amenazas cibernéticas están evolucionando y las empresas se enfrentan a empresarios criminales despiadados. La solución no es una solución mágica de tecnología manejada por la jerga sino una que implica un esfuerzo de la comunidad en un mundo donde los límites de los negocios están desapareciendo. Con criminales que son cada vez más creativos en la manera de encontrar el enlace más débil, los Responsable de Seguridad de la Información (Chief Information Security Officers, CISO) del futuro deben preocuparse por el riesgo digital, ayudar a la empresa a aprovechar las oportunidades y desarrollar resiliencia cibernética”.

- David Ferbrache, director técnico en prácticas de seguridad cibernética de KPMG

A pesar de que los problemas de seguridad cibernética se tratan cada vez más en los directorios, el informe afirma que dichos debates son muy poco frecuentes y se tratan como problemas aislados del riesgo operativo más amplio. Muy frecuentemente, el problema de la seguridad cibernética no se incorpora en la estrategia empresarial general.

El informe también argumenta que la arquitectura de TI excesivamente compleja puede empeorar las brechas en la seguridad. Esto es especialmente lo que sucede si la tecnología implementada es demasiado difícil de usar o si hay una falta de integración.

Para poder abordar estos riesgos y ganar el verdadero liderazgo en la seguridad cibernética, el informe les pide a las empresas que se enfoquen en procesos de buena gestión, la integración adecuada de tecnologías y que consideren terciarizar algunos aspectos menos críticos de su seguridad a un tercero confiable. Esto, combinado con el intercambio de inteligencia, buenas prácticas y lecciones aprendidas en una red de colegas, podría poner a la empresa en una posición para pensar sobre la seguridad cibernética de manera diferente. Es decir, no como un riesgo que debate el directorio quizás dos veces al año, sino como una oportunidad comercial y facilitadora de una transformación digital.

Se puede descargar el informe.

Para más información:

Victoria Harres PR & Corporate Relations in the Americas