Si las infracciones de la ciberseguridad son inevitables, ¿qué deberían hacer las organizaciones al respecto?
Por Maxim Frolov, vicepresidente de ventas globales de Kaspersky Lab
Hay una verdad incómoda en la comunidad empresarial. Como muchos responsables de la toma de decisiones empresariales son muy conscientes, apenas parece pasar una semana sin que se informe a la prensa sobre una violación de datos de alguna forma, y solo este año ha sido testigo de algunas violaciones importantes que han afectado a miles de personas en todo el mundo.
Solo eche un vistazo a las estadísticas. En octubre del año pasado, la empresa de pruebas de ADN MyHeritage sufrió una infracción que afectó a 92 millones de personas. Avance rápido hasta marzo de este año, y nos enteramos de que se habían compartido los datos de 87 millones de usuarios de Facebook. Luego, en junio, Ticketmaster reveló que se habían violado la información de inicio de sesión, los datos de pago, las direcciones, los nombres y los números de teléfono de casi 40.000 personas. Y esto fue seguido a principios de septiembre, cuando los piratas informáticos entraron en los sistemas de British Airways, impactando 380.000 transacciones.
Cuando suceden, las infracciones de todos los tamaños tienen consecuencias brutales (incluso si son más pequeñas que los ejemplos citados anteriormente). Eche un vistazo al sector minorista solo: estudios recientes han demostrado que el 19% de los consumidores dejarían completamente de gastar dinero en un minorista si el negocio hubiera sido violado, y uno de cada tres (33%) estuvo de acuerdo en que al menos dejaría comprando allí por un tiempo. ¿Te imaginas lo que podría suponer la pérdida del 19% de tu base de clientes en el resultado final? Ciertamente no sería un espectáculo agradable.
Con nuevas regulaciones como el GDPR en vigor, las multas también son un gran factor de temor para los líderes empresariales. Según los informes, la multa de Facebook por su participación en el escándalo de Cambridge Analytica podría haber sido de 1.400 millones en el mundo posterior al RGPD, una suma dura incluso para un gigante global como Facebook. Y para las pequeñas empresas también, la perspectiva de pagar hasta el 4% de su facturación anual como una multa no es divertida.
¿Dónde está el caso de negocios para un presupuesto?
Por lo tanto, las consecuencias de una violación de datos, desde multas hasta pérdidas financieras y clientes frustrados o abandonados, son perjudiciales, desconcertantes y pueden poner en peligro a las empresas involucradas.
En este contexto, podría pensar que es fácil para los directores de seguridad de la información justificar la necesidad de sus presupuestos. Sin embargo, investigaciones recientes[i] de Kaspersky Lab ha demostrado que los CISO en realidad están luchando por obtener los presupuestos que necesitan para luchar contra los ciberdelincuentes.
Hay varias razones para esto, incluido el hecho de que la seguridad a veces se agrupa en el presupuesto de TI más amplio, que el presupuesto se prioriza para proyectos digitales, en la nube u otros proyectos de TI, y debido a la ignorancia por parte de la junta. Sin embargo, la razón más común es que es difícil para los CISO obtener un presupuesto cuando no pueden garantizar que su organización no sufrirá una infracción.
Desde un punto de vista empresarial, esto podría tener sentido, ¿verdad? Después de todo, si usted es un líder empresarial y se concentra en el resultado final, ¿por qué estaría de acuerdo en hundir el presupuesto en una pelea que aparentemente no se puede ganar? Un protocolo comercial sensato dicta que solo debe invertir donde haya un rendimiento en las tarjetas.
Puede sonar controvertido, para los líderes empresariales que lean esto, de todos modos, pero, en Kaspersky Lab, creemos que la pregunta: «¿puede garantizar que no habrá más infracciones?» no es realmente una pregunta que las empresas deberían hacerse. Antes de explicar por qué, preguntémonos una vez más: ¿son realmente inevitables las infracciones?
¿Qué hace que las brechas de ciberseguridad sean inevitables?
Según los resultados de nuestra encuesta, casi nueve de cada diez (86%) CISO creen que las infracciones son inevitables. Entonces, ¿qué hay detrás de esta certeza?
Bueno, la mayoría de las empresas están en el camino hacia la transformación digital, y más de la mitad (52%) está de acuerdo en que esta es la tendencia tecnológica que tendrá el mayor impacto en la seguridad de TI de su organización en los próximos cinco años. La transformación digital amplía la superficie del ataque, brindando a los ciberdelincuentes más oportunidades para encontrar debilidades, infiltrarse en los sistemas y filtrar o explotar datos. La adopción de la nube, la creciente movilidad de la fuerza laboral y el aumento en el uso de canales digitales son todos factores que contribuyen aquí, aumentando los riesgos.
Y este no es el único factor al que se enfrentan los CISO. ¿Qué pasaría si un infiltrado malintencionado, tal vez un empleado, trabajara por sí solo contra una empresa, o incluso combinara sus esfuerzos con los de un atacante externo? ¿Para ayudarlos a atravesar la puerta trasera, por así decirlo?
Este tipo de amenaza podría ser especialmente difícil de identificar y prevenir de antemano. De hecho, es uno de los tipos de amenazas más temidos entre la multitud de CISO, con el 29% de los CISO que están de acuerdo en que este es el mayor riesgo de seguridad de TI que enfrenta su organización (solo superado por las preocupaciones sobre las bandas de ciberdelincuencia motivadas financieramente en un 40%).
Y ya que estamos en el tema de la motivación financiera, por cierto, si violar una organización promete traer ganancias sustanciales a los atacantes, y esas ganancias exceden los recursos que necesitan para organizar el ataque en primer lugar, entonces hasta el final. Los criminales están preocupados, sus esfuerzos se justifican fácilmente. Seguirán encontrando nuevas formas de ganar dinero.
Hacer las preguntas correctas conducirá a las decisiones correctas.
Parece haber muchas razones, descritas anteriormente, por las que la pregunta «¿Puedo prevenir un ataque?» no es el adecuado para los líderes empresariales. Entonces, ¿cuál es la pregunta correcta para hacer?
Bueno, si los ataques son probables y están aumentando, el quid del problema realmente radica en si una empresa puede detectar un ataque con la suficiente rapidez y responder de manera integral y lo suficientemente rápida como para minimizar su impacto.
En otras palabras, cada vez está más claro que las empresas ya no pueden vivir en el paradigma de la prevención. Esa mentalidad simplemente está desactualizada y no está sincronizada con la forma en que funcionan las empresas hoy en día. Cuando se trata de ataques dirigidos y altamente elaborados, la detección y la respuesta deben ser la prioridad.
Es hora de informar a los líderes empresariales de que vale la pena invertir en ciberseguridad. No se trata de garantizar la prevención completa de los incidentes cibernéticos, se trata de aumentar el precio del ataque para los atacantes. Se trata de hacer que un ataque sea inasequible y que no valga la pena.
Y, lo que es más importante, se trata de preparar su perímetro y su equipo de seguridad para abordar de inmediato cualquier intento de interferir con la red de su organización. Una brecha promedio le cuesta a una gran empresa hasta $ 1.23 millones, pero si toma las medidas necesarias, este precio bajará al mínimo, o incluso a nada. Eso suena como una decisión empresarial sensata.