Para que conste, debe reconocerse desde el principio que no hay duda de que el panorama de la seguridad cibernética ha mejorado con el tiempo, principalmente gracias a los aumentos persistentes en el gasto cibernético año tras año. Gartner estima que EE. UU. y el resto del mundo invertirán $ 172 mil millones en seguridad cibernética este año, frente a los $ 150 mil millones del año pasado, y continuará aumentando de manera constante a partir de entonces.
Estas inversiones han producido, entre otras cosas, análisis de seguridad, que es un enfoque proactivo de la ciberseguridad que utiliza capacidades de recopilación, agregación y análisis de datos para detectar y mitigar mejor las ciberamenazas. También está la creciente efectividad de la inteligencia artificial y el aprendizaje automático, y ahora, la arquitectura de confianza cero está ganando interés en muchas organizaciones. Es más difícil que nunca para los atacantes penetrar en grandes organizaciones.
No obstante, la incidencia y el alcance de las infracciones cibernéticas continúan creciendo la mayoría de los años, y los expertos cibernéticos están de acuerdo en que una enorme cantidad de organizaciones importantes ya se han visto comprometidas y probablemente lo estarán nuevamente en algún momento. ¿Por qué? Un refrán común es que los actores maliciosos siguen mejorando y evolucionando, y aunque las corporaciones trabajan duro para mantenerse al día, solo se necesita un desliz para abrir la puerta a los ciberdelincuentes.
Sin embargo, también hay otra razón importante, y una que recibe mucha menos atención.
Muchas organizaciones todavía tienen importantes deficiencias de seguridad. Estos incluyen capacitación cibernética mediocre, planes de respuesta a incidentes por debajo de la media y la tendencia a comprar tantas herramientas de seguridad que a menudo terminan socavándose entre sí. Además, el constante aumento de las vacantes de empleo cibernético, que ahora asciende a 715 000 solo en los EE. UU., claramente no se está abordando lo suficiente, según un informe de la firma de investigación de mercado Lightcast.
¿Existen soluciones a estas carencias? Sí, pero requerirán algo de atención. Aquí hay algunas observaciones que podrían cerrar estas brechas:
La contratación laboral de ciberseguridad necesita mejoras
Para agravar la escasez de trabajadores cibernéticos, las empresas a menudo cometen errores en la contratación, lo que genera dificultades para la contratación. Todas las vacantes sin cubrir no solo dificultan que las empresas mantengan las redes seguras. También tienen un impacto negativo en los equipos de ciberseguridad existentes, que se espera que hagan todo lo necesario para mantener la seguridad de la red con solo una fracción del personal requerido. Esto conduce al agotamiento y lleva a más personas a abandonar la industria por completo.
Una gran parte del problema es que los empleados que contratan no pueden infringir reglas rígidas. Como la mayoría de las profesiones, los anuncios de trabajos de seguridad cibernética vienen con requisitos, que incluyen experiencia y calificaciones. Como señalan artículos en ZDNet, Protocol y en otros lugares, no es raro que los departamentos de recursos humanos sean demasiado estrictos dada la escasez de profesionales de ciberseguridad. Varios de estos candidatos son competentes, incluso sin calificaciones formales, y, sin embargo, muchos son pasados por alto para las ofertas de trabajo.
Un ejemplo de esto es que muchas autoridades certificadoras de ciberseguridad requieren hasta cinco años de experiencia comprobable a tiempo completo. Estas certificaciones son necesarias para muchos roles de seguridad de nivel superior. Incluso los candidatos con títulos en ciberseguridad e informática a menudo son rechazados porque carecen de una certificación en particular.
Formación cibernética mediocre
Los empleados suelen recibir uno o dos días de formación sobre seguridad cuando son contratados y, a partir de entonces, algún tipo de repaso una vez al año. Esto no es suficiente. Muchos empleados olvidan algo de lo que aprenden después de unos meses. Independientemente, todos los empleados necesitan ayuda adicional con la ciberseguridad porque cambia constantemente. La Asociación de Sistemas de Computación Avanzada recomienda que las empresas organicen capacitaciones en seguridad cibernética cada cuatro a seis meses, preferiblemente utilizando ejemplos y videos interactivos.
Es importante tener en cuenta que el conocimiento y la sofisticación de los empleados capacitados varía ampliamente, lo que a menudo socava la eficacia. Algunos estudios han demostrado que incluso las disposiciones de los empleados pueden determinar las probabilidades de que un individuo se vea comprometido. Un estudio encontró que los encuestados que se identificaron como personalidades «Tipo A» no creían que tuvieran un mayor riesgo de reutilizar contraseñas, un esfuerzo arriesgado. Pensaron que sus propios esfuerzos proactivos eran suficientes.
Demasiados empleados siguen estando insuficientemente informados sobre la ciberseguridad, en parte porque muchos ejecutivos y gerentes le dan mayor prioridad a otras cosas, como acumular nueva tecnología para impulsar las ganancias de productividad.
Planes de respuesta a incidentes por debajo del par
Los Planes de Respuesta a Incidentes están diseñados para acelerar la respuesta a una brecha organizacional de la manera más rápida posible para mitigar el daño a la reputación, la desconfianza del cliente, las tarifas regulatorias y legales y los costos de limpieza. Las organizaciones deben ser resilientes. Subrayando que la mayoría de las empresas se enfocan abrumadoramente en la prevención cibernética, no en la remediación, un estudio realizado por IBM Security y Ponemon Institute encontró que el 74 por ciento de los profesionales de seguridad y TI encuestados en 11 mercados globales no sintieron que era necesario adoptar IRP de manera consistente en todas sus organizaciones: o en absoluto.
Entonces, ¿qué hacen las empresas cuando llegan problemas graves de ciberseguridad? Dependen principalmente de su departamento de seguridad para obtener ayuda. Para mitigar una brecha tanto como sea posible, muchos más empleados también deben comprometerse seriamente a mantenerse al tanto de las ciberamenazas. Necesitan adoptar mentalidades y comportamientos selectos.
Desarrollar un amplio suministro de herramientas de seguridad parece una buena idea, pero en general no lo es. Un estudio realizado por Ponemon Institute encontró que las organizaciones tienen en promedio más de 45 herramientas de este tipo. Aquellos que usaron más de 50 se clasificaron un 8 por ciento más bajos en su capacidad para detectar un ataque y un 7 por ciento más bajos en términos de respuesta a un ataque. El problema: todas estas herramientas frecuentemente entran en conflicto y se socavan entre sí.
Si las soluciones no están completamente integradas, lo cual es típico, es difícil comprender una visión holística cuando un empleado cibernético salta de una consola de computadora a otra. Además, más herramientas de seguridad significan más alertas, a menudo falsas, para administrar. La complejidad, en definitiva, es un coste oculto.
Los directores de seguridad de la información (CISO) creen que se necesitan inversiones aún mayores en ciberseguridad
Los CISO desempeñan un papel crucial en la defensa de las inversiones en seguridad cibernética, y más de la mitad de ellos cree que sus directorios aún no brindan amplias inversiones para mitigar los riesgos de seguridad cibernética, según una encuesta realizada por Censuswide, una consultora de investigación de mercado internacional con sede en Londres. Los CISO dicen que algunas juntas solo discuten la seguridad cibernética en medio de una brecha.
En este caso, los propios CISO son parte del problema. Muchos necesitan aprender a ser más inteligentes en la comunicación con la junta directiva. Deben evitar hablar en jerga, teniendo en cuenta que la junta rara vez está compuesta por expertos cibernéticos. Igualmente importante, deben evitar usar el miedo, la incertidumbre y la duda para recalcar un punto. Deben dejar en claro de manera consistente que la salud de la empresa es la máxima prioridad de todas.
Los líderes corporativos deben estar atentos a los conceptos básicos clave de su infraestructura, como asegurarse de que la organización tenga una red segura con usuarios seguros y verificar dos veces que el hardware y el software se actualicen constantemente. De esta manera, las vulnerabilidades de seguridad se descubren más temprano que tarde.
Lo más importante de todo es que los líderes deben crear una cultura en torno a su infraestructura de seguridad. Es importante que entiendan cómo sus ejecutivos abordan actualmente la ciberseguridad y qué cambios podrían ser necesarios. Deben priorizar mejorar las cosas y considerar qué más se podría necesitar en el futuro. Estos pasos ayudan a generar crecimiento a través de la confianza digital y construyen tanto el orgullo de los empleados como la reputación de una organización con los clientes.
Sobre el Autor: Robert Ackerman Jr. es el fundador y director gerente de AllegisCyber Capital, una firma de capital de riesgo de ciberseguridad en etapa inicial con sede en Silicon Valley. También es cofundador y director de la junta de DataTribe, una fundición inicial y en etapa inicial, con sede en Fulton, Maryland, que invierte en empresas jóvenes de ciberseguridad y ciencia de datos.
Bob ha sido reconocido como un ejecutivo de seguridad cibernética de Fortune 100 y también como uno de los «hombres de dinero de la seguridad cibernética». Anteriormente, como empresario, Bob fue presidente y director ejecutivo de UniSoft Systems, una empresa líder en sistemas UNIX, y fundador y presidente de InfoGear Technology Corp, pionera en la integración original de la tecnología web y de telefonía.
Nota del editor: Las opiniones expresadas en este artículo del autor invitado son únicamente las del contribuyente y no reflejan necesariamente las de Tripwire, Inc.