La interconectividad ha crecido exponencialmente. Hay pocas empresas y organizaciones que no dependan de la conectividad y las tecnologías digitales. Los particulares y las empresas realizan transacciones por valor de miles de millones de dólares de forma rutinaria y es difícil imaginar la vida moderna sin una presencia en línea.
Y eso convierte a todo el mundo en objetivo prioritario de la actividad delictiva de oportunistas y sindicatos del crimen organizado. La información personal almacenada en bases de datos da acceso a datos de tarjetas de crédito, activos financieros y propiedad intelectual. Puede ser sustraída sin ningún riesgo físico para el delincuente y estos ataques de ransomware pueden generar grandes desembolsos de víctimas desesperadas por recuperar el control de sus redes.
Al mismo tiempo, las empresas y organizaciones no sólo son juzgadas por la calidad de sus productos y servicios, como ocurría antes. Se les evalúa por lo bien que gestionan una amplia gama de temas como la seguridad, la igualdad y la diversidad, el medio ambiente y la sostenibilidad, y también la seguridad de la información. Las empresas que cotizan en bolsa están sujetas a una calificación ESG, que abarca todo lo anterior y más.
Por eso, las organizaciones, para resultar atractivas y ser consideradas un éxito hoy en día, tienen que demostrar su compromiso con todos esos aspectos y gobernarlos. La seguridad de la información solía considerarse aplicable únicamente a las empresas de TIC. Ahora que todo el mundo está en peligro y que la prueba de gobernanza se está convirtiendo cada vez más en un requisito, la forma de abordar este tema está aumentando de forma natural en las agendas de las empresas y los consejos de administración.
Nadie es inmune a los ataques
Los particulares son timados por unos pocos dólares al pagar falsas ofertas a través de correos electrónicos y redes sociales. Gobiernos, servicios educativos, organismos sanitarios y redes eléctricas son chantajeados para que paguen enormes sumas de dinero a fin de evitar la caída de sistemas esenciales. Las organizaciones comerciales sufren el robo de activos valiosos y los proveedores de servicios de TIC y comunicaciones ocupan un lugar destacado en la lista de objetivos, ya que proporcionan un medio de acceso a las organizaciones que utilizan sus servicios.
La orientación de los ataques ha pasado de los piratas informáticos individuales que se divertían infiltrándose en las redes por puro placer a las actividades delictivas que generan grandes sumas de dinero, desde el desvío de pequeñas cantidades de grandes cantidades hasta la exigencia de un gran pago a una única entidad.
Con tanto en juego, todas las empresas necesitan evaluar su panorama de riesgos y el tipo de amenazas y ataques a los que son vulnerables. Al hacer esa evaluación, las empresas también deben investigar hasta qué punto están expuestas a ataques procedentes de sus clientes o proveedores y cómo podría afectar a su cadena de valor cualquier ataque a sus propios sistemas.
Aunque siguen existiendo, los virus y hackeos sencillos de antaño pueden ser los menos complejos de manejar hoy en día. Las organizaciones están ahora en una carrera con la ciberdelincuencia, pero inevitablemente siempre van un paso por detrás. Mientras se ocupan de defenderse de la última amenaza, las actividades ya están haciendo evolucionar la siguiente etapa.
Reforzar la resistencia empresarial y la confianza de las partes interesadas
Cada amenaza evitada puede ser una lección aprendida y un conocimiento utilizado para desarrollar y anticipar defensas contra los ataques. Sin embargo, la gestión de la seguridad de la información es algo más que mitigar los riesgos a corto plazo. También se trata de crear resistencia a largo plazo. Establecer un marco sólido para identificar, gestionar y mitigar los riesgos impulsará la mejora continua, creará una gobernanza estructurada y reforzará la continuidad de la actividad.
Un sistema de gestión de la seguridad de la información (SGSI) que cumpla las mejores prácticas internacionales, como la norma ISO/IEC 27001, ayuda a cualquier empresa a comprender el panorama real de los riesgos, desplegar medios para prevenir las violaciones de la seguridad y procesos para gestionar cualquier incidente. Además, proporciona un marco estructurado para desarrollar y aplicar procesos y controles de seguridad, garantizando el compromiso de la dirección y la formación de los empleados, por ejemplo.
Mientras que el desarrollo del SGSI de una organización será el trabajo de un equipo más pequeño. Implicar a todos los empleados en la implantación es un requisito previo. La mayoría de los ataques se inician por una acción descuidada de un miembro del personal: hacer clic en un enlace de un correo electrónico de phishing, utilizar una memoria USB infectada, establecer una contraseña débil o compartirla con un desconocido. Estas acciones rara vez son deliberadas, pero pueden ser perjudiciales. Con una formación adecuada, pueden evitarse, pero las empresas deben asegurarse de que la formación se imparte en toda la empresa, con la participación de todos los empleados en todo momento.
Es posible que una organización desarrolle un sistema de gestión de la seguridad de la información conforme a su propia norma o a la norma ISO/IEC 27001, realizando auditorías propias o de terceros para verificar su cumplimiento. Sin embargo, no hay forma de demostrar de forma independiente a los clientes y otras partes interesadas que el sistema está implantado y funciona eficazmente.
La certificación ISO/IEC 27001 proporciona una prueba independiente de que su sistema de gestión de la seguridad de la información cumple los requisitos de la norma. Genera confianza a nivel interno y permite dar a conocer a clientes, proveedores y otras partes interesadas que su sistema de gestión de la seguridad de la información ha sido evaluado por un organismo de certificación externo. La certificación también exige auditorías anuales del sistema de gestión y pruebas de que sigue siendo adecuado para su finalidad, lo que aumenta la resistencia de la empresa y la confianza de las partes interesadas.
