Ciberseguridad en alta dirección

Perspectivas

La ciberseguridad necesita escalar a la alta dirección empresarial

La ciberseguridad, como ya lo hemos expuesto anteriormente, no es solo un tema de tecnología, sino que se ha convertido ya en una parte fundamental para el desarrollo de negocios.

A pesar de que, poco a poco, ha adquirido una mayor relevancia entre el sector empresarial, el rezago que las organizaciones aún tienen en la materia sigue siendo significativo y plantea varios retos relevantes.

En entrevista con Sergio Solís, Socio de Risk Advisory en Deloitte México.

Ciudad de México, 18 de febrero de 2019.

El principal reto, actualmente, es que las empresas colocan a la ciberseguridad en un nivel meramente tecnológico, cuando en realidad es un tema que debe llevarse y escalar hacia las esferas más importantes de la empresa, como es la alta dirección.

Con esto, no queremos decir que los altos directivos tengan que conocer, necesariamente, a nivel técnico, las cuestiones de ciberseguridad, pero sí que, en su rol de líderes, deben involucrarse en estos temas, sobre todo conociendo cuáles son los riesgos a los que puede enfrentarse su organización y, con base en dicho conocimiento, tomar las decisiones de acuerdo al apetito de riesgo que tengan.

Si la alta dirección sigue delegando las cuestiones de seguridad cibernética a los especialistas técnicos de su área de tecnología, y no les brinda la atención debida, lo más probable es que los resultados no sean positivos y que las empresas se conviertan en un blanco aún más vulnerable para los cibercriminales.

Por esta razón, es importante destacar los esfuerzos que algunas universidades del país, tanto públicas como privadas, ya han comenzado a hacer para desarrollar a profesionistas que atiendan la responsabilidad de ciberseguridad, pero desde una perspectiva más ejecutiva y de alta dirección.

La falta de altos directivos que conozcan y estén involucrados en cuestiones de ciberseguridad es, sin duda, un tema complejo, que no distingue de industrias y que representa uno de los mayores desafíos que, como país, tenemos en esta materia.

Es importante que los altos directivos del país se involucren en estos temas, no desde un punto de vista técnico, sino tomando conciencia sobre los riesgos a los que su organización está expuesta y tomando decisiones sobre la mejor manera de protegerla.

Las lecciones de 2018

2018 fue un año complicado para el país en materia de ciberseguridad. Durante ese año ocurrieron diversos eventos significativos que impactaron sobre todo al sector financiero, pero que dejaron lecciones relevantes para todas las industrias.

La primera de ellas es que las organizaciones deben ser conscientes del entorno completo que tienen en materia de riesgo. ¿Qué queremos decir con ello? Que los cibercriminales no siempre atacan a las organizaciones de manera directa, sino que, muchas veces, lo hacen embistiendo a terceros que, de alguna u otra forma, tienen una relación con el objetivo y forman parte de su cadena de valor.

Por ello, es fundamental que las empresas analicen a toda su cadena de suministro y a todos los actores o jugadores importantes que tienen alguna relación con su operación, tomen las medidas de protección necesarias y no piensen que el riesgo está solo al interior de su organización o que el riesgo puede administrarse únicamente con un contrato.

La segunda lección es que se debe trabajar en mejorar la capacidad de respuesta de las compañías ante un incidente de riesgo. Las empresas tienen que considerar que, la mayoría de las veces, los cibercriminales encontrarán un área vulnerable por la que puedan atacar, por más protección que se tenga.

En consecuencia, y ante un panorama en el que las empresas tardan alrededor de 200 días o más en identificar una posible vulneración, es necesario mejorar la capacidad de reacción y monitorear de manera constante todas las áreas de la organización, para que, cuando ocurra un ataque, no sea demasiado tarde. En resumen, se debe mantener un enfoque seguro, vigilante y resiliente.

Es necesario mejorar la capacidad de reacción y monitorear de manera constante todas las áreas de la organización, para que, cuando ocurra un ataque, no sea demasiado tarde.

El panorama para 2019 y los retos por venir

¿Qué podemos esperar este año en ciberseguridad? El panorama para nuestro país se prevé complicado. ¿La razón? Principalmente, tres cuestiones sobre las que se deberá trabajar:

  1. Rezago tecnológico
    México no tiene, hoy, una sólida cultura tecnológica ni de riesgo. Muestra de ello es que nuestro país fue, en 2018, la nación con el mayor número de ataques de phishing o robo de identidad en América Latina, según datos de Kaspersky1.

    Pese a ello, la tecnología y la seguridad cibernética siguen sin ser consideradas como una prioridad en la agenda gubernamental, al menos hasta ahora. Sin duda, es una situación grave, que debe cambiar, pues ello genera incertidumbre y preocupación entre el sector empresarial.
  2. Falta de profesionales
    De acuerdo con cifras publicadas por IDC, en México existen, aproximadamente, entre 145 mil y 150 mil vacantes de ciberseguridad que no han sido cubiertas.

    La falta de profesionales especializados en la materia es un tema serio que preocupa al sector empresarial y que lo ha llevado a recurrir a asesores externos que conocen sobre el tema y que pueden ayudarlos, pues tratar de atender estas cuestiones de manera interna se ha convertido, para las organizaciones, en una labor insostenible.
  3. Complejidad en los ciberataques
    A medida que el tiempo pasa, las técnicas de ataque de los cibercriminales se han hecho más sofisticadas y organizadas, lo que hace que cada vez más sea más complejo, para las empresas, estar preparadas para responder a este tipo de incidentes.

    Lo cierto es que la velocidad con la que está evolucionando el mundo de la ciberdelincuencia, respecto al tiempo que les está tomando a las organizaciones responder, no es equiparable. Desafortunadamente, la delincuencia ha sido más ágil, lo que dificulta el panorama e incrementa el nivel de riesgo para las empresas.

Las tres situaciones anteriores sin duda impactarán el desarrollo que los temas de seguridad cibernética tengan durante ese año, sin embargo, el tema al que las empresas tendrán que poner mayor atención es al de analizar la situación en la que se encuentran en ciberseguridad.

Es necesario que las organizaciones comprendan en dónde están situadas en la materia y evalúen los riesgos que podrían enfrentar. Solo así, podrán definir cuáles son sus prioridades y cuál será la estrategia a seguir para proteger sus activos más valiosos.

1. “Reseña de 2018”. Kaspersky Lab, diciembre 2018.

Es necesario que las organizaciones comprendan en dónde están situadas en la materia y evalúen los riesgos que podrían enfrentar.

¿Te resultó útil este contenido?
Integridad del cumplimiento regulatorio global de ciberseguridad

Un reto desalentador pero manejable

Ciberseguridad en México

¿cuáles serán los desafíos del nuevo gobierno?