La pandemia trajo consigo una velocidad disruptiva en la transformación digital de las empresas.
Con esta se ha aumentado de una manera inesperada la conectividad, trabajo desde casa, servicios de videoconferencia, aumento de servicios digitales de las organización y usos de plataformas para el desarrollo operativo en línea entre otros. Esa velocidad eliminó la posibilidad de hacer un proceso de transformación escalonado, bien planeado.
Producto de lo anterior los puntos de riesgo de las organizaciones a nivel cibernético han aumentado y aprovechándose de la situación los ataques en ese sentido también. Microsoft ha revelado en su Reporte Anual de Defensa Digital un incremento de 35% en volumen de ataques en el primer semestre del 2020 frente al 2019, se ha aumentado el nivel de sofisticación y la persecución concentrada en engaños a los usuarios y no tanto a los sistemas técnicos.
Sin embargo, lo anterior, lo delicado de los activos que son amenazados y el ascenso de vulnerabilidades y ataques, las organizaciones luchan para dar un paso sistemático a la ciberseguridad. Parte del reto es entender que esta involucra a toda la organización, el capital humano, las áreas técnicas, los directivos y cómo esto debe permear de manera holística la organización.
NO ES EJE ESTRATÉGICO
Los fenómenos más frecuentes que se presentan como barreras es que la ciberseguridad se interpreta como una labor del Back Office y que no tiene más que un alcance técnico dentro de la organización. Otro reto es que los líderes de los procesos de ciberseguridad no cuentan con una influencia estratégica real dentro de la organización.
NO HAY CONCIENCIA
Por otra parte, muchos de los usuarios no son conscientes de la gravedad de un ataque y lo que realmente se está protegiendo.
Muchos empleados no saben que un incidente puede congelar el programa de compras y con esto no poder hacer pedidos e incumplir órdenes de entrega del mes, poniendo en riesgo a la empresa frente a sanciones contractuales y costos reputacionales.
Hay un trabajo muy fuerte de comunicación por parte de RRHH y los departamentos de TI y la dirección para que todos entiendan la gravedad de un ataque y la importancia de un sistema integral de seguridad informática.
El caso SolarWind, es un buen ejemplo de educación y cultura de ciberseguridad. SolarWind es una empresa proveedora de sistemas de redes y software a grandes entidades en el mundo, incluyendo 425 compañías del Fortune 500. El en 2020 sufrió un ataque de cadena que afectó a Microsoft, Google, la Agencia de Armas nucleares de Estados Unidos entre otras. Fueron 8 meses sin detectar el ataque. Un empleado siguiendo las buenas prácticas notó algo raro en una solicitud de contraseña y lo reportó. Fue por él que descubrieron el ataque.
Conoce más aquí: The SolarWinds Hack And The Future of Cyber Espionage
Las organizaciones se enfrentan entonces a una verdadera estrategia de ciberseguridad que tiene que abarcar desde las soluciones técnicas, cambios adaptativos, cultura organizacional y apoyo estratégico desde las directivas hasta la inclusión en procesos de manera sistemática hasta que se convierta en orgánica por parte de todos los usuarios.
“Un gran reto es entender que la ciberseguridad no es solo una tarea de Back Office”