¿Por qué a muchas organizaciones les resulta difícil mantenerse al día con la evolución de las amenazas cibernéticas y gestionar sus riesgos cibernéticos de manera eficaz?
Las empresas de servicios financieros han sido durante mucho tiempo un objetivo recurrente para los ciberdelincuentes. No sin una buena razón, ya que además de trabajar con dinero, las empresas financieras se ocupan de una gran cantidad de datos confidenciales de los clientes que los delincuentes utilizan en diversos esquemas de fraude o venden en los mercados de la web oscura. Según el Data Breach Report 2020 elaborado por Verizon, solo el año pasado el sector financiero sufrió más de 1.500 incidentes de seguridad, con 448 casos confirmados de divulgación de datos.
Además de las amenazas de larga data, la mayoría de las empresas han tenido que lidiar recientemente con la rápida transición al trabajo remoto. El cambio se produjo de la noche a la mañana, dejando a las empresas con poco tiempo para implementar las medidas de seguridad adecuadas o preparar a los empleados para las amenazas cibernéticas que se avecinan. Y mientras la pandemia ha terminado, el trabajo remoto llegó para quedarse, lo que se suma a la lista de desafíos que las empresas deben enfrentar al preparar sus planes y políticas de seguridad.
Los siguientes son algunos de los desafíos más comunes con los que las organizaciones a menudo luchan debido a varios factores:
Falta de profesionales
Si bien muchas empresas pueden estar buscando profesionales de ciberseguridad experimentados (o potenciales) para unirse a ellos y que puedan ayudarlos a establecer un perímetro defensivo contra diversas amenazas, simplemente no hay suficientes profesionales para todos. De hecho, aunque la brecha de la fuerza laboral en ciberseguridad se ha reducido por primera vez en años, todavía hay una escasez global de 3,12 millones de trabajadores. De hecho, para compensar la escasez mundial de talento, los niveles de empleabilidad tendrían que crecer un 89% en todo el mundo. Por lo tanto, para atraer a las mentes más brillantes de esta industria, las empresas deberán ofrecer salarios competitivos y oportunidades laborales atractivas.
Presupuestos insuficientes
Un factor importante que impide que las empresas aborden las amenazas cibernéticas de manera adecuada es que no tienen suficientes presupuestos asignados a la ciberseguridad. Según una encuesta de Ernst and Young, el 87% de las organizaciones participantes dijeron que no tenían suficiente presupuesto para alcanzar los niveles de ciberseguridad y resiliencia que estaban buscando. La falta de recursos significa que las empresas no pueden contratar suficiente talento en ciberseguridad o no pueden implementar las medidas técnicas que necesitan para combatir los ataques.
Sobrestimando sus propias medidas de seguridad
Un error común que cometen muchas empresas es que sobreestiman la calidad de sus medidas de seguridad cibernética. Si bien pueden creer que están al tanto de las cosas, es posible que las empresas no cuenten con las mejores políticas de actualización de seguridad. Un buen ejemplo, pero al mismo tiempo lamentable, es la vulnerabilidad de BlueKeep en Windows. El parche se lanzó en mayo de 2019 y Microsoft pidió a todos que lo parchearan de inmediato. Un mes después, la Agencia de Seguridad Nacional de Estados Unidos emitió su propia alerta. A pesar de esto, en julio todavía había más de 805.000 máquinas susceptibles a BlueKeep. La historia continuó con los primeros ataques que exploraron BlueKeep en noviembre. No hace falta decir que solucionar una vulnerabilidad tan grave no debería llevar seis meses, bajo ninguna circunstancia.
Falta de formación y conciencia sobre cuestiones de seguridad.
Otro hecho que a menudo socava la ciberseguridad de una empresa es que los empleados no reciben suficiente formación sobre temas de concienciación sobre ciberseguridad. Podría decirse que los riesgos de que los empleados sean engañados para que descarguen malware o compartan sus credenciales se han visto magnificados por el cambio al trabajo remoto que ha generado COVID-19. Según un estudio del Ponemon Institute, aunque las empresas han visto un aumento en los intentos de ataque durante la pandemia (incluidos los ataques de phishing y la ingeniería social), el 24% de los encuestados siente que sus organizaciones no han brindado suficiente capacitación sobre los riesgos asociados con el control remoto. trabaja. En Latinoamérica, una encuesta a usuarios realizada a mediados de 2020 por ESET reflejó que más del 40% de los encuestados consideraba que la empresa para la que trabajaban no estaba preparada en cuanto a equipamiento y conocimientos de seguridad para adaptarse al teletrabajo. También es preocupante que el estudio de Ponemon descubrió que más de la mitad de las empresas no tenían una política de seguridad que satisfaga las necesidades de los empleados remotos.
Subestimar el valor de la ciberseguridad
Algunas organizaciones subestiman el valor de la seguridad informática para su negocio y, por lo tanto, optan por invertir en otros aspectos que consideran más valiosos. Algunos pueden argumentar que los costos superan los beneficios o que el costo de las medidas de seguridad cibernética supera las posibles pérdidas económicas de una violación de datos. Sin embargo, si bien las posibles sanciones y pérdidas pueden ser menores a corto plazo, el daño a la reputación puede tener mayores consecuencias, incluida la pérdida de confianza del cliente, que puede afectar los ingresos. Alternativamente, si tienen éxito, los ciberdelincuentes podrían obtener acceso a la propiedad intelectual y vender esa información junto con los datos de los clientes en la web oscura. Por tanto, la ciberseguridad no debe pasarse por alto, ya que sirve para proteger a la empresa y a sus clientes.
Conclusión
Cualquier combinación de los puntos mencionados anteriormente puede significar una tormenta perfecta para la mayoría de las organizaciones si se enfrentan a un ciberataque. En el lado positivo, las empresas de servicios financieros han comenzado a tomar en serio las preocupaciones de ciberseguridad en los niveles más altos. La consultora global de alta dirección McKinsey descubrió que el 95% de los comités de la junta encuestados dicen que discuten los riesgos cibernéticos y tecnológicos al menos cuatro veces al año. Sin embargo, es importante señalar que la concienciación de la alta dirección debe ir acompañada de una inversión adecuada en soluciones de ciberseguridad y en la formación del personal con los mejores estándares posibles.