Seguridad informática en las empresas y su adaptación

Vivimos un contexto en el que la seguridad informática en las empresas adquiere más y más complejidad día a día, con perspectivas de que este grado de complejidad vaya creciendo con el tiempo, tal y como lo ha hecho hasta ahora. Tanto es así, que hace unas décadas, el gran problema que teníamos en ciberseguridad era definir nuestro perímetro de seguridad: Teníamos sedes físicas y un área de red muy controlada, lo que hacía que la labor no resultara demasiado compleja.

Cuando la seguridad informática en las empresas trasciende el plano técnico

Sin embargo, hoy en día el escenario es muy distinto y ha adquirido complejidad, evolucionando hasta encontrar en la definición de la identidad de seguridad el nuevo reto. La causa de este nuevo desafío de la seguridad informática en las empresas se encuentra en la existencia de millones de usuarios conectándose desde millones de apps (lícitas o no, sin que podamos saber si son una cosa u otra). Es en este punto, cuando el ámbito de negocio de las organizaciones se ha da cuenta de la magnitud del problema, trascendiendo el plano técnico.
Tanto es así, que existen estudios que muestran que un 51% de las empresas ven en la ciberseguridad su gran desafío a la hora de trasladarse o efectuar la transformación digital (Fuente: Ping Identity Coporation)
Por añadidura, el 61% de los CEOs consideran que las amenazas de seguridad informática en las empresas son uno de los grandes problemas para conseguir los resultados de negocio (Fuente: Ping Identity Coporation). Y lo que es más, el 78% cree en la utilidad del Crowd Computing (a efectos de aumento de la eficacia, reducción de costes, etc), pero el hecho de que sus datos estén en otros sistemas y no puedan tener control sobre ellos les echa para atrás. O lo que es lo mismo, creen en el argumento técnico, pero la ciberseguridad es lo que les impide dar el paso.
Asimismo, con el objetivo de entender el fenómeno en el contexto de la seguridad informática en las empresas, debemos valorar el cambio en la motivación de los ataques: Antes, eran perpetrados por mentes brillantes con un afán rara vez económico. Hoy en cambio cualquiera puede conseguir un exploit que esas mentes brillantes colgaron hace años, cambiar un parámetro y efectuar un ataque con un interés eminentemente económico.
Esto nos ha llevado a un escenario en el cual el 64’5% la motivación del ataque es el cibercrimen (Fuente: hackmageddon.com). De esta manera, se ha convertido incluso en un modelo de negocio. Tradicionalmente, la segunda motivación era el “hacktivismo”, pero ha sido relegada a la tercera posición por el ciberespionaje. Tenemos en el cuarto y último lugar la ciberguerra, con ejemplos en Rusia, la OTAN, etc.

Seguridad informática en las empresas y cambio organizacional

Llegados a este punto, a nivel organizacional podemos adoptar dos enfoques claramente diferenciados: un punto de vista esencialmente técnico, versus un punto de vista donde el técnico entienda a negocio. En este último escenario, (el más recomendable), el CISO/CIO tiene que saber dónde está poniendo la empresa el énfasis y dónde está su ventaja competitiva.
Tendríamos estos tres ejemplos de organizaciones con intensificaciones y ventajas bien diferenciadas:

• Amazon, con el énfasis en la excelencia operacional
• SAP o Mercedes con el objetivo en el liderazgo de producto
• O cualquier  gran consultora, con el foco puesto en la intimidad con el cliente.

De esta manera, hemos de conocer y construir la infraestructura y servicios alrededor de esta característica. Así, Llegamos a un escenario donde el CIO ha establecido una infraestructura en base a lo que busca negocio.
Esto ha de trasladarse conforme a las tres dimensiones de la seguridad informática en las empresas: Confidencialidad, Integridad y Disponibilidad. De la misma forma que en negocio no se puede sobresalir en todos los ámbitos, negocio tendrá que decidir en qué dimensión se pone el foco.

Seguridad informática en las empresas: ejemplos de fracaso en el establecimiento de prioridades

Por ejemplo, en Ashley Madison (la web de contactos que experimentó una filtración) la confidencialidad era lo más importante, puesto que un fallo en las demás dimensiones no le iba a hacer perder clientes.
Otro ejemplo lo constituyó el caso del Estado de Pará (Brasil), donde anualmente se concedían a las empresas privadas dedicadas a explotar los recursos del Amazonas un un límite de tala. Pues bien, una de estas organizaciones hackeó el sistema estatal para ampliar su cupo y así seguir talando impunemente.
En este caso, lo más importante era la integridad, dado que se trataba de un regulador. El impacto en este caso es altísimo: un recurso natural tremendamente valioso pudo verse compometido.  
¿Quieres conocer las políticas más usadas para garantizar la seguridad en la empresa? Fórmate con el Programa Superior en Ciberseguridad y Compliance de ICEMD. Encuentra toda la información e inscripciones, aquí.