Ciberseguridad… ¿nos preocupamos o nos ocupamos?

Gilberto-Vicente-Fortinet

Por: Gilberto Vicente

Sales Marketing Director, Fortinet América Latina y el Caribe

Como responsables de la seguridad digital, las empresas de ciberseguridad deben generar conciencia e implementar acciones responsables que mitiguen los riesgos, generen beneficios para las organizaciones y muestren el valor de su función.

Seguro ha visto que en Internet, en redes sociales o en las noticias, aparecen informes sobre el estado de la ciberseguridad a nivel mundial. Sin duda son valiosos en cuanto a cifras, casos y datos duros sobre esta creciente y compleja escena de ciberataques a nivel mundial, pero entre tantas versiones, formatos y cifras, sin una interpretación o guía correcta, la información se puede salir del contexto real y traducir en miedo o paranoia.

Cuidado con el estrés… ¡amenaza no es lo mismo que riesgo!

La (in)seguridad digital llegó para quedarse. El tema es importante y el malware crece de forma exponencial (más aún con la dependencia tecnológica de las organizaciones). Pero, de nada sirve estresarnos con historias de terror ocurridas a otras empresas si no entendemos nuestros propios ambientes y controlamos puertas y ventanas abiertas en el plano digital, identificamos riesgos y determinamos el verdadero impacto que un incidente nos podría causar.

No debemos confundirnos, ni dejar que nos confundan. Las amenazas se traducen en un riesgo real dependiendo de su éxito para encontrar y aprovechar vulnerabilidades o debilidades (malas configuraciones, fallas en la protección, parches o actualizaciones) en nuestros activos de TI. Un informe puede mencionar que las amenazas han crecido, pero nosotros nos debemos preguntar: ¿cuál es el riesgo que tienen para mi organización? ¿Sabemos cuáles son nuestros puntos débiles? ¿Qué protección tenemos?

Consideraciones para aprovechar la información y no caer en paranoia

  1. Independientemente de lo que diga un informe, reporte o whitepaper… jamás controlaremos la motivación de los atacantes ni cómo tratan de afectarnos (amenazas). Mientras exista una falta de conciencia de los usuarios y también la (in)capacidad de las autoridades para perseguir estos delitos, no hay que invertir energía -ni tiempo- para entender las motivaciones de los atacantes, sino enfocarse en lo que se puede controlar.
  1. Que si las vulnerabilidades crecieron un 300% o 500% en ciertas plataformas, sistemas o redes sociales… el mundo está lleno de vulnerabilidades y se generan en proporción del incremento de usuarios, servicios y tecnologías. Hay que entender el ambiente de operación y poner esas vulnerabilidades en un contexto real para tomar las acciones pertinentes. Seguro habrá algunas que resulten más importantes que otras.
  1. Hay reportes que hablan sobre el crecimiento de amenazas, pero muy poco del riesgo… pero es imposible reducirlo al 100%, por razones operativas, humanas, funcionales o tecnológicas. Dependiendo del grado de exposición y lo crítico de una situación, se deberá asumir una postura ante el riesgo y determinar si es posible mitigarlo de alguna forma, evitarlo, transferirlo o aceptarlo. Las cifras y datos de los reportes ayudan, pero la decisión debe basarse en el tiempo o recursos para reducirlo, contra el costo de no hacer nada. Hay que medir el impacto que cualquier decisión tenga en la rentabilidad y competitividad.
  1. Que si hackearon a Sony o Target… Los reportes incluyen ejemplos de compañías afectadas (seguro no quiere que la suya aparezca en la lista). Más allá de compararse o sembrar miedo, hay que aprovecharlos para conocer el entorno, explorar la tecnología y apoyarse en su empresa de seguridad. Es inaceptable que un proveedor de ciberseguridad se justifique hablando de otros, de amenazas o promoviendo tecnologías de moda, sin entender primero a la organización, lo que debe proteger y los riesgos que enfrenta.