• La ciberseguridad es un tema de creciente importancia para las empresas, aunque muchas no saben cómo elaborar un plan en torno a ella.
  • Cuando se trata de elegir un plan de ciberseguridad adecuado para tu empresa, debes tomar en cuenta distintos factores.
  • Estos van desde el software, la infraestructura y soporte de una empresa, hasta un componente pedagógico.

La ciberseguridad se ha convertido en una de las grandes prioridades para las empresas de todo el mundo, debido en gran medida al mayor número de incidencias de ciberataques durante la pandemia de Covid-19. Sin embargo, no todas saben cuál es la mejor manera de hacer un plan de ciberseguridad.

«Sabemos que la ciberseguridad es una de las preocupaciones principales. Incluso muchos de los inversionistas que quieren entrar en México tienen más preocupaciones sobre el tema de la ciberseguridad que, por ejemplo, de la política, cambios fiscales y más, lo cual nos sorprende un poco», cuenta en entrevista con Business Insider Peter Kroll, CEO de Software One.

«Las empresas son medianamente conscientes de esto, aunque tengo que decir que entre la conciencia y la actuación todavía hay una brecha bastante importante. Estamos todavía un poco atrasados en esta parte si la comparamos con otros países, más aún en las pymes», agrega.

Cuando se trata de elegir un plan de ciberseguridad adecuado, se deben tomar en cuenta distintos factores que van desde el software, la infraestructura y soporte de una empresa, hasta un componente pedagógico.

El CEO de SoftwareONE comparte algunas ideas clave para diseñar la hoja de ruta en términos de seguridad y lo que se debe tener en cuenta para el cuidado de los datos de una compañía.

Hay que anticiparse a cualquier posible ataque y no actuar cuando ya sucedió

En el mundo de la seguridad informática muchas veces ocurre que primero nace el delito y luego la norma, un claro ejemplo fue el caso de los ataques de ransomware WannaCry en 2017, los cuales pusieron en jaque a organizaciones privadas y públicas en más de 150 países.

Aquello supuso un punto de inflexión en términos de ciberseguridad y muchas de las políticas, normas y buenas prácticas que se aplican hoy en día. Sin embargo, parece que uno de los principales errores que cometen actualmente las empresas es que no piensan si, más allá de la tecnología, están implementando las medidas adecuadas para evitar ciberataques.

«Las empresas que saben que el futuro está en la nube, pero no han tomado todas las medidas necesarias para protegerse. Cuando la nube se conecta ya con tus propios sistemas y estos o tus dispositivos no están bien protegidos, pues obviamente pueden entrar ahí y causar un gran daño», dice Kroll.

Tienes que estar dispuesto a invertir en un plan de ciberseguridad, pero no solo se trata de soltar dinero

Por supuesto, todo plan de ciberseguridad conlleva un gasto. Sin embargo, más allá de lo que pueda costar hacer uno, Kroll dice que es una buena inversión, tomando en cuenta la alternativa.

«No es necesariamente barato. Si te quieres proteger bien, tienes que invertir. Pero el costo de no hacerlo y tener un ataque es cinco, 10, 20 veces mayor», dice Kroll.

«Si por ejemplo, una pyme tiene un ataque de ransomware que le pare las operaciones por dos, tres o cuatro días, el costo es muy alto. Las empresas solo ven los costos, pero no ven las consecuencias de no invertir», dice.

A su vez, si bien los presupuestos en seguridad han crecido en diversas empresas, el verdadero impacto de una política de protección de datos se mide por el nivel de adopción y gestión del cambio de las personas dentro de la organización.

En ese sentido, al elegir un socio para efectos de ciberseguridad debe existir un componente pedagógico que permita medir la evolución de las políticas y las herramientas que se implementan durante el plan.

También hay que tomar en cuenta la tecnología de cada organización. «Hay que hacer un análisis muy profundo de los puntos más vulnerables que tiene la empresa y de los procesos. Nosotros, por ejemplo, contamos con personas que pueden hacer pruebas de penetración y detectar dónde están realmente los puntos más vulnerables de una empresa», agrega.

«Con base en esto ya se puede desarrollar una hoja de ruta para definir cuáles son las prioridades y cómo vamos a proteger mejor a la empresa», dice Kroll.

Tu empresa tiene la responsabilidad de empoderar a los empleados en temas de ciberseguridad

Actualmente, millones de personas trabajan desde sus casas; sin embargo, a veces lo hacen con dispositivos personales y conectados a través de redes Wifi compartidas y no validadas en términos de seguridad.

Esto dificulta acciones como la validación de identidad, y da lugar a posibles incidentes de suplantación.

Contar con herramientas y funcionalidades que no dejen al azar este tipo de procesos es determinante para brindar a los colaboradores de la organización la confianza en modelos de protección de la información laboral y personal.

A su vez, Kroll agrega que también es importante que tanto los CEOs de empresas —sean estas pequeñas o grandes— y sus empleados generen consciencia en torno a la ciberseguridad.

«Por un lado, empieza por la conciencia de los empleados. Hay cifras que dicen que 19 de 20 ciberataques exitosos suceden porque alguien está compartiendo datos de acceso o no los cuida lo suficiente», dice Kroll.

«La consciencia de los empleados debe venir desde los niveles más altos de la empresa, porque si los dueños o quien lleva la empresa no tienen esta consciencia, no van a poder transmitirlo. Esto viene desde muy arriba y [debe llegar] hasta el último empleado», comenta.

«También hay que demostrar las consecuencias de un ciberataque o un ransomware; lo que le puede pasar a la empresa y cómo [uno de estos ataques] pone en riesgo incluso su trabajo», dice Kroll. «Si dentro de la empresa se hablan de las consecuencias, yo creo que ahí la gente tendrá un poco más de consciencia sobre el tema y sobre qué pueden hacer ellos desde su propio puesto de trabajo para evitar estos problemas», agrega.

Un plan de ciberseguridad también debe contar con modelos de responsabilidad compartida 

Gracias a la nube, el nivel de responsabilidad se puede categorizar en diferentes capas. Por una parte, la empresa sigue siendo responsable por la información en la nube mientras que a su vez el proveedor lo es de los datos dentro de esta.

En entornos híbridos y multinube es vital contar con un aliado que brinde un concepto claro sobre los componentes que se deben proteger con mayor atención y que ayude a las empresas a construir políticas de seguridad a través de herramientas consultivas y pruebas de concepto imparciales.

AHORA LEE: Estos son los 8 pasos que debes seguir para crear un plan de recuperación efectivo contra ciberataques

TAMBIÉN LEE: Los ciberataques ponen ‘en jaque’ a empresas mexicanas, con un incremento del 600% en su incidencia durante la pandemia

Descubre más historias en Business Insider México

Síguenos en FacebookInstagramTwitterLinkedIn y YouTube.