ActualidadCiberseguridadOpiniónTecnologíaTendencias

Un Nuevo Tipo de Insensatez: El Riesgo de los Rendimientos Decrecientes en la Ciberseguridad

Se empieza a ver un patrón en el modo en que las organizaciones reaccionan ante las últimas novedades sobre violaciones a la ciberseguridad.  Por lo general, las organizaciones comienzan inyectando fondos adicionales en tecnología de la seguridad lo más rápido posible, luego de haber identificado una irrupción.

Una vez adquirida la nueva tecnología, se desata una carrera desenfrenada para sumar personal calificado a sus equipos de seguridad dentro de la compañía. Aceptémoslo de una vez; este abordaje reactivo y prácticamente no planificado, sencillamente no está funcionado.

De hecho, cuantos más ingredientes agreguemos a la mezcla, sin detenernos a pensar y sin gobernanza, probablemente estaremos incrementando la inseguridad de las organizaciones.

Gran parte de las inversiones en ciberseguridad parecen guiarse por reacciones o respuestas de acto reflejo frente a un marketing agresivo, en lugar de encarar el problema mediante un abordaje a conciencia.  Cuando esto ocurre, las organizaciones pueden terminar con más tecnología de la que pueden manejar dados sus recursos existentes.  Entonces, intentan hacer frente a la mayor carga de TI, incrementando sus presupuestos y contratando más personal para que ejecute las soluciones.

Aun así, y a pesar de las mayores inversiones en tiempo y en dinero, las violaciones a los datos continúan sucediendo. Y dichas irrupciones se tornan cada vez mayores, más sofisticadas y lamentablemente, más perjudiciales. Y esto se debe a la ley de los rendimientos decrecientes: cuanto más dinero, tecnología y recursos humanos destine al problema, estará exponiendo a su organización a mayores riesgos y vulnerabilidades.

¿Por qué? El principal motivo es la complejidad: agregar soluciones de seguridad a otras ya existentes, puede generar un monstruo indomable; trayendo a la superficie el antiguo problema de los silos y haciéndolo evidente.  Los distintos sistemas se dedican a funciones diferentes, y no necesariamente integran la información o comunican. Algunos son demasiado multifacéticos y difíciles de manejar – y esto genera vacíos de seguridad que la inversión adicional procura prevenir.

Es así como algunas compañías sufren una disrupción masiva de la seguridad aún después de haber invertido cuantiosamente en seguridad y especialización técnica. Entonces, ¿cuál es la respuesta a este abordaje ineficiente para mitigar riesgos?

La solución requiere de un enfoque a la ciberseguridad a través de la implementación de un marco de gobernanza, que consta de tres elementos:

  1. Ejecución de una estrategia de gobernanza de datos para una apropiada asignación de recursos.
  2. En aquellos casos donde resulte práctico, debemos utilizar empresas de gestión de ciberseguridad tercerizadas, aprovechando la especialización de estas para gerenciar y monitorear la infraestructura y eventos de seguridad de su empresa.
  3. Seguir un modelo estandarizado de gobernanza, como por ejemplo el del marco de ciberseguridad del NIST (Instituto de Estándares y Tecnología de los EUA).

Ejecución de la Gobernanza de Datos

Una gobernanza adecuada es un primer paso esencial para organizar un marco que permita alcanzar la eficacia de la seguridad de la información.  Un marco de gobernanza de seguridad lo ayudará a priorizar y a clasificar sus activos digitales y determinar cuánto gastar en controles internos y externos.

Uno de los beneficios de un marco de gobernanza de la seguridad es la gestión de datos.  Las organizaciones deben determinar qué información se destruirá en el corto plazo y cuál se archivará.  Las empresas tienden a conservar los datos mucho más tiempo del necesario, creando potencialmente un tesoro escondido en Internet para los hackers, en caso de que irrumpan en su red.

Por lo general, el gran volumen de emails que viajan por una red corporativa, como así también los materiales de marketing, deberían borrarse luego de unos pocos meses.  De otro modo, en caso de ser hackeados, los malos actores podrán acceder a información de propiedad exclusiva de la empresa, que incluye secretos comerciales, detalles sobre negociaciones comerciales, y otras comunicaciones que iban dirigidas solo a destinatarios internos.

Los datos sujetos al cumplimiento normativo, incluidos los de finanzas, RR.HH y las historias clínicas o fichas médicas, deberían estar adecuadamente organizados, encriptados y archivados.  Dependiendo de la normativa aplicable, pasada una determinada cantidad de años dichos datos también pueden destruirse. Una gobernanza apropiada de los datos les permite a las organizaciones planificar estos diversos abordajes a los datos, lo que puede prevenir muchos dolores de cabeza.

Tercerización de la Seguridad

Un marco de gobernanza de la seguridad puede asimismo destacar qué controles de seguridad manejan mejor los terceros.  A la luz de los retornos decrecientes en las inversiones de seguridad, las organizaciones deberían considerar la tercerización de la gestión de seguridad a manos de expertos, sobre todo cuando no cuentan con los recursos internos adecuados.  Del mismo modo en que usted contrataría los servicios de una empresa de seguridad para que vigile las instalaciones físicas, tiene sentido hacer lo mismo con la ciberseguridad.

Existe un motivo por el cual las empresas siguen volcándose a proveedores de servicios de seguridad: puede ser una de las maneras más prácticas de obtener la mejor protección que se pueda adquirir, siempre y cuando realice el due dilligence de los proveedores disponibles.  Esto explica por qué Gartner predice que el mercado de la seguridad basada en la nube ascenderá a US$ 9 mil millones en 2020, desde el estimado actual de US$ 5.900 millones.

La seguridad a menudo es demasiado complicada y costosa para su mantenimiento interno. Contratar profesionales capacitados de manera individual resulta cada vez más y más difícil; para 2022 se espera un faltante de 1.800.000 profesionales de la ciberseguridad. Tercerizar la seguridad resuelve estos problemas ya que usted aprovecha la especialización y la tecnología comprobadas de un experto en seguridad.

Siga los Estándares del NIST (Instituto de Estándares y Tecnología de los Estados Unidos).

Por último, tanto las organizaciones familiarizadas con los marcos de gobernanza de la seguridad como las que no lo están, deberían consultar el marco de ciberseguridad del NIST.  Este marco está diseñado para ayudar a las empresas y organizaciones de todo tipo a crear y gerenciar sus propios marcos de seguridad.

Algunos de los aspectos que más me gustan del marco de ciberseguridad son:  1) Está escrito en inglés liso y llano (y no en lenguaje técnico de ciberseguridad); de modo que entender y seguir las instrucciones es sencillo para prácticamente cualquier persona, y 2) el acceso a todos los materiales es gratuito.

Los tomadores de decisiones responsables de la ciberseguridad deberían considerar que invertir en más tecnología y más personal sin un marco bien definido para la gobernanza de la ciberseguridad puede acabar siendo un esfuerzo infructuoso.

En su lugar, la mayoría de las empresas deberían refocalizar sus inversiones en ciberseguridad implementando una gobernanza de datos apropiada y confiando más en la especialización de empresas de ciberseguridad con experiencia comprobada.  En resumen, es momento de empezar a abordar la seguridad de manera más inteligente.

Comentarios

comentarios

Compartir