Cómo las dificultades internas en una organización debilitan la ciber resiliencia
Todos sabemos que la ciberdelincuencia es una gran amenaza para las empresas, pero ¿hasta qué punto los problemas internos obstaculizan la capacidad de su organización para defenderse?
La ciber resiliencia se define como la capacidad de anticiparse, resistir, recuperarse y adaptarse a condiciones adversas, tensiones, ataques o situaciones comprometidas en sistemas que utilizan o se apoyan en recursos cibernéticos, según el Instituto Nacional de Normas y Tecnología de Estados Unidos (NIST).
En esta entrada de blog, analizaremos la manera en que la ciber resiliencia puede verse debilitada por problemas organizativos. También recomendaremos algunas medidas que su organización puede adoptar para superar estos problemas y mejorar su postura de ciberseguridad.
Recursos – El principal impedimento para la ciber resiliencia
La mayor parte de las dificultades para lograr una ciber resiliencia robusta tienen un mismo origen: la falta de recursos. Mientras que las grandes empresas pueden permitirse dedicar tiempo y dinero a protegerse de la ciberdelincuencia, las pequeñas y medianas empresas son menos afortunadas.
De hecho, el Wall Street Journal descubrió recientemente que menos de dos tercios de las empresas con menos de 50 millones de dólares de ingresos contaban con un programa de ciberseguridad, en comparación con el 81% de las empresas con más de 1.000 millones de dólares de ingresos. Además, tres cuartas partes de las organizaciones que experimentaron uno o más incidentes de ransomware en un periodo de 12 meses carecían de los recursos necesarios para remediar adecuadamente la situación, según la encuesta Future Enterprise Resiliency and Spending Survey llevada a cabo en 2021 por International Data Corporation.
La limitación de los recursos de ciberseguridad puede manifestarse de diversas formas, entre otras:
- Falta de personal. Las grandes corporaciones pueden permitirse tener un equipo entero dedicado a proteger sus recursos digitales. Pero las PYMES a menudo dejan que un solo responsable de TI o de ciberseguridad haga todo el trabajo pesado. Cuando se ven obligados a hacerlo solos, los responsables de ciberseguridad tienden a tomar atajos, dejando a su organización expuesta a las ciber amenazas.
- Falta de herramientas. Las empresas necesitan una serie de herramientas que les ayuden a identificar y responder a los ciber incidentes. Las herramientas de ciberseguridad, como los firewall (FW), los firewall de aplicaciones web (WAF) y la gestión de identidades y accesos (IAM), son muy accesibles. Las grandes empresas pueden permitirse soluciones avanzadas como las plataformas de protección de dispositivos finales (EPP) o la detección y respuesta a amenazas en dispositivos finales (EDR). Sin embargo, las PYMES a menudo carecen del dinero necesario para adquirir estas herramientas, lo que debilita su ciber resiliencia.
- Falta de un proceso. La asignación insuficiente de recursos a la ciberseguridad puede tener un sinfín de efectos secundarios, como no centrarse suficientemente en los pasos clave de la respuesta a incidentes. Por ejemplo, una organización podría centrarse únicamente en la erradicación, remediación y recuperación, en detrimento de la preparación, identificación, contención y análisis posterior al incidente.
La solución: una estrategia de ciberseguridad con costos optimizados
La falta de recursos puede ser una razón legítima para no gastar millones en ciberseguridad, pero no justifica en absoluto no tener una estrategia de ciberseguridad. Hoy en día, la ciber resiliencia puede lograrse por una fracción del costo de lo que las grandes empresas suelen gastar en defenderse.
En un estudio reciente sobre la madurez cibernética de las organizaciones, McKinsey descubrió que a todas las empresas se les daba bien comunicar los requisitos de ciberseguridad a proveedores y terceros, gestionar la seguridad del acceso remoto y comunicar las políticas y normas de ciberseguridad. Pero descubrió que a las más pequeñas les costaba trazar un mapa de la organización y los flujos de datos, realizar simulaciones periódicas de respuesta de ciberseguridad o revisar y recompensar la seguridad del código.
He aquí algunas maneras en que las PYME pueden mejorar su ciber resiliencia:
- Hacer de la ciberseguridad un objetivo de la organización. Cuando se asume que todos los datos importantes están en Internet y que eso pone en peligro la existencia misma de la empresa frente a los ciberdelincuentes, es fácil comprender por qué la ciberseguridad debe estar en el centro de la planificación de la organización y no ser sólo una cuestión de segundo orden.
- Utilizar una solución gestionada. Si su organización carece de recursos para emplear a un equipo completo de personal de ciberseguridad, considere la posibilidad de externalizar esta función. Una forma de hacerlo es recurrir a una solución gestionada, como una plataforma de Centro de Operaciones de Seguridad (SOC). Siempre que el SOC disponga de las capacidades críticas para proteger completamente una organización, una PYME puede lograr la ciber resiliencia sin necesidad de contratar a un costoso equipo interno.
- Formación sobre seguridad. La mayoría de las brechas de ciberseguridad se deben a errores humanos. Impartir a los empleados una formación exhaustiva sobre seguridad (y hacer un seguimiento periódico con sesiones de formación complementarias o anuales) puede ayudarles a reconocer cuándo están en el punto de mira de los ciberdelincuentes, protegiendo así los datos de la empresa.
- Controles administrativos estrictos. Las contraseñas complejas, especialmente en las cuentas de administrador, son una forma eficaz y de costo cero de evitar los ataques de fuerza bruta. La autenticación multifactor añade otra capa de protección adicional y ofrece una mayor tranquilidad.
Conclusión
Desde una perspectiva general, la ciberseguridad es uno de los numerosos desafíos a los que deben enfrentarse las organizaciones. Las pequeñas y medianas empresas pueden cerrar la brecha de ciber resiliencia que las separa de las grandes corporaciones de diferentes maneras. La mejor respuesta, como siempre, es “una planificación eficaz”, aunque esto sea más fácil de decir que de hacer. Teniendo en cuenta el ritmo de adopción y lanzamiento al mercado de sistemas y tecnologías nuevos y más avanzados, las organizaciones deben considerar que la productividad y la seguridad son compatibles, en lugar de contradictorias. Por supuesto, encontrar los métodos más adecuados para su organización específica es clave para reducir el ciber riesgo.