La seguridad necesita un plan estratégico
Uno de los fenómenos detectados por Logicalis, gracias al estudio que ha elaborado para conocer los retos a los que habrán de enfrentarse los CIOs en 2019, es la ausencia de un enfoque uniforme y claro en las organizaciones sobre cómo afrontar la defensa frente a las ciberamenazas.
El conocimiento que tienen los CIOs acerca de los marcos de seguridad y estándares asumidos para combatirlas es, de hecho, bastante desigual. Así lo confirma el 28% de los encuestados por Logicalis, quienes declaran no saber a cuál se adhiere su organización, y dentro del mismo contexto un 14% asevera no disponer de directrices claras al respecto.
Sin embargo, en el caso de la mayoría de CIOs que afirmaron conocer con claridad los estándares de seguridad exigidos en sus organizaciones, confesaron la ausencia en ellas de un enfoque común a partir de la salvaguarda de la información. Algo preocupante, habida cuenta del peso estratégico que tiene ésta labor para cualquier entidad inserta en la economía digital, confirmado por el 54% de los más de 800 CIOs que participaron en el estudio, quienes aseguran dedicar el 30% de su tiempo a labores relacionadas con la seguridad.
Los ciberdelincuentes, a la caza del error humano
Pero no todo son malas noticias, hace doce meses tan sólo el 46% de los CIOs se preocupaba por sensibilizar y capacitar en materia de seguridad a los trabajadores en sus organizaciones. El porcentaje ha subido hasta el 58% este año, lo que es de celebrar, teniendo en cuenta que el error humano es una de las vías más utilizadas por los ciberdelincuentes para hacer brecha en los sistemas de seguridad. Algunos expertos llegan a afirmar que el 95% de los ataques efectivos se producen a causa del desconocimiento y/o la falta de celo de las personas a la hora de cumplir con protocolos.
Hace poco más de un año la efectividad conseguida por los ciberdelincuentes, gracias a su concienzuda búsqueda del error humano, alertó a propios y a extraños. Supimos que varias entidades habían sufrido robos millonarios como consecuencia de ataques basados en la suplantación de la identidad de altos ejecutivos; en algunos casos la cuantía de lo sustraído llegó a los 70 millones de €. Miembros de las fuerzas de seguridad, expertos en este tipo de delitos, advirtieron a través de los medios de comunicación de que el fenómeno se estaba comenzando a disparar en España, llegando a registrarse unos 15 casos de este tipo por semestre.
Para llevar a buen término este tipo de robos, los asaltantes despliegan operaciones de espionaje y seguimiento, tanto virtual como en el mundo físico, durante meses. Aprovechándose de la extensión de los medios a través de los que pueden rastrear la huella digital de los ejecutivos que están en su punto de mira, llegan a conocer desde sus costumbres diarias hasta la forma que tienen de expresarse cuando envían correos electrónicos. Con la información obtenida llevan a cabo el ataque cuando exista un menor riesgo de detección; por ejemplo, enviando un correo falso en nombre del director al responsable de contabilidad, solicitando un ingreso importante de dinero, esperando que éste cumpla la falsa orden por descuido.
Formación y capacitación en seguridad planificadas
Así las cosas, y en un ecosistema donde las amenazas están en permanente cambio, es muy posible que las organizaciones dediquen más presupuesto a implantar programas de capacitación para sus equipos de trabajo en materia de seguridad. Dichos programas se ejecutarán a partir de análisis pormenorizados, que ayudarán a optimizar recursos, sabiendo a quién capacitar, cuándo y cómo. La formación de ese firewall humano puede convertirse en los próximos años en una de las líneas maestras que garanticen una menor incidencia de los ataques.
Esa clave de interpretación no llevará a los CIOs a descuidar el despliegue de tecnologías y sistemas de defensa adecuados a las nuevas amenazas. Siendo conscientes de la dificultad que entraña ganar la carrera a los ciberdelincuentes en este campo, seguirán avanzando al tiempo que preparan a las organizaciones para asumir cierto nivel de resiliencia inevitable.
Más detalles de la sexta Global CIO Survey 2018 aquí.
La certificación tipo es un procedimiento reconoc...
La gestión de riesgos es hoy crítica para la fij...
Si piensas en productos de consumo, es probable qu...
