Diseño de Estrategias de Ciberseguridad para empresas

En su libro, “You’ll See This Message When It Is Too Late: The Legal and Economic Aftermath of Cybersecurity Breaches” Josephine Wolff describe los riesgos de tener una estrategia de ciberseguridad deficiente. La autora expone una serie de casos que ejemplifican los principales riesgos existentes en materia de vulnerabilidad de la información y las clasifica de la siguiente manera: errores humanos, brechas de seguridad, ataques orquestados y negligencia; mismas que están relacionadas a tres tipos de intereses: financieros, espionaje y humillación. Dicha organización nos servirá como punto de partida para encontrar las vulnerabilidades en los sistemas y evitar un robo de datos sensibles (personales o de la empresa).

Vulnerabilidad del sistema 1: Robo de datos por errores humanos

Uno de los errores más comunes en materia de ciberseguridad se basan en la actividad humana y en el desconocimiento de temas de seguridad informática. En su libro, la autora describe muy bien este tipo con el caso del fraude fiscal en Carolina del Sur. Dicho fraude fue posible porque no existía una cultura adecuada respecto a la seguridad informática y uno de los empleados accedió a un correo electrónico “phishing” desde su lugar de trabajo. Con un simple clic, los ladrones informáticos pudieron vulnerar el sistema y robar los datos de miles de contribuyentes en EEUU. Este robo de datos fue sumamente costoso para el Departamento del Tesoro pero también para los contribuyentes. La vulnerabilidad del sistema se pudo haber prevenido si dentro de la organización se tuviera comunicación y educación permanente en seguridad informática. Una estrategia de ciberseguridad debe incluir capacitación e información en la materia para todo el personal que labora en la empresa.

Vulnerabilidad del sistema 2: Robo de datos por brechas de seguridad

Este tipo de vulnerabilidad informática es muy parecida a la negligencia, sólo hay una sutil diferencia. Esta brecha no se da de manera flagrante sino que suele ser también producto de un descuido humano. La principal diferencia entre ambas yace en que este descuido humano de actualizar o reparar bugs son los principales causantes de este tipo de vulneraciones. Es por ello que las organizaciones deben estar conscientes que tener una presencia digital también implica brindar seguridad a sus consumidores. Es importante que las empresas que tengan datos sensibles tengan actualizadas todas sus herramientas de seguridad cibernética, de lo contrario los hackers pueden aprovechar esas vulnerabilidades. El robo de datos puede ser muy oneroso para las organizaciones, no por un tema económico, sino también de reputación. Una estrategia de seguridad robusta debe prever la actualización, reparación y capacitación constante de todo su personal y hardware. 

estrategia de ciberseguridad, Diseño de Estrategias de Ciberseguridad para empresas

Vulnerabilidad del sistema 3: Robo de datos por ataques orquestados

Este tipo de vulnerabilidades no es muy común para empresas, normalmente afecta más a organizaciones que se encuentran involucradas en temas políticos o sociales. En su libro Josephine Wolff comparte el caso de “The Spamhouse” una organización cuyo fin es terminar con el spam en el internet. Al pisar los intereses de un fuerte grupo económico, “The SpamHouse” fue víctima de un fuerte ataque DDoS (ataque denegación de servicio). Estos ataques son tan comunes en internet que pueden resolverse con una capa de seguridad que empresas como CloudFare brindan. Si bien las empresas no necesariamente tienen un grave riesgo de ser víctimas de un ataque DDoS, una buena política de ciberseguridad debe prever estas herramientas para minimizar sus riesgos cibernéticos. Una estrategia de ciberseguridad exitosa siempre tiene en mente las mejores herramientas para limitar las posibilidades de tener un problema.

Vulnerabilidad del sistema 4: Robo de datos por negligencia

Este tipo de vulnerabilidad es una de las más comunes pero también de las más perversas. Éstas representan un grave riesgo para las empresas principalmente por el daño que causa a su reputación. En su libro la autora destaca el caso de Sony Pictures y Ashley Madison, dos compañías que recibieron un fuerte golpe por claras omisiones en su estrategia de ciberseguridad. Omisiones claras pues las empresas decidieron intencionalmente “ahorrarse” esos costos y comprometieron las bases de datos de clientes/empleados. Sony Pictures decidió hacer caso omiso a algunas señales que daban cuenta de un hackeo y luego trataron de ocultarlo. Por otro lado, Ashley Madison mintió descaradamente a sus clientes y su teatro fue descubierto tras el hackeo. Una estrategia de ciberseguridad ganadora para cualquier empresa debe partir del supuesto de que la seguridad de las personas está por encima de cualquier costo. Al final, ningún monto económico repara un daño a la reputación organizacional y la desconfianza de los consumidores.

Recomendaciones finales

Para diseñar una estrategia de ciberseguridad robusta es importante tomar en cuenta tres factores: el humano, el técnico y la cultura. Una estrategia de ciberseguridad ganadora debe tomar en cuenta a las personas no sólo como un sujeto de vulnerabilidades sino también como un sujeto que está depositando su confianza en nosotros. Del lado técnico, una estrategia debe robustecerse con todos los mecanismos tecnológicos para brindar seguridad a los usuarios, SIN ESCATIMAR EN GASTOS. Finalmente, la cultura organizacional debe transitar hacia una cultura que prevalezca la ética por encima de la ganancia. Los casos de Sony Pictures y Ashley Madison son prueba de que en materia de seguridad, la avaricia puede ser un mal consejero y la negligencia muy costosa. En temas de protección de datos personales en el ámbito digital, toda vulnerabilidad es una debilidad. Recomiendo ampliamente este libro para profundizar en los conceptos aquí mencionados.