La percepción sesgada de la seguridad: Una mentalidad peligrosa
Recientemente se ha publicado una encuesta que examinaba cómo perciben la seguridad de los datos las distintas organizaciones. Una pregunta, en particular, arrojó resultados sorprendentes, aunque no sorprendentes: una gran mayoría de los encuestados expresó su confianza en la eficacia de las medidas de seguridad de datos de su organización.
Esto es alarmante. No porque no deba confiar en sus esfuerzos, sino porque la seguridad nunca es una tarea acabada.
La encuesta se centraba en la seguridad de los datos, pero si un sistema está en peligro, también lo están los datos que contiene. Por lo tanto, la encuesta se refiere esencialmente a la ciberseguridad en general, aunque ese no fuera su objetivo declarado.
"A mí no me pasará"
Esta es la primera falacia que desencadena una cadena de acontecimientos que conducen al exceso de confianza. Asumir que su organización no se verá afectada por un ciberataque ignora las numerosas pruebas que demuestran que organizaciones de todos los tamaños se ven afectadas todos los días. Ninguna organización es demasiado pequeña o demasiado grande para convertirse en objetivo. El hecho de que aún no haya ocurrido no indica que no vaya a ocurrir.
Creer en esta falacia lleva a considerar cualquier inversión en ciberseguridad -ya sea tiempo, dinero o recursos- como un esfuerzo desperdiciado. Se considera más un coste que una inversión. Esta mentalidad no tiene en cuenta que un solo incidente puede hacer que sus clientes pierdan la confianza en su organización como refugio seguro para sus datos y su dinero, lo que puede causar daños y repercusiones duraderas.
También infla la eficacia percibida de sus métodos actuales. Si su infraestructura no ha sido vulnerada, significa que lo está haciendo todo bien, ¿no? Sin embargo, esto no tiene en cuenta la realidad de que hay innumerables objetivos ahí fuera, y puede ser simplemente que su número no haya aparecido todavía.
Pregúntese lo siguiente: ¿está haciendo su organización más que Microsoft, AT&T o United Healthcare -empresas con amplios recursos, personal y conocimientos técnicos- y aun así ha sido víctima de incidentes de ciberseguridad en los últimos meses? ¿Qué hace su empresa de forma diferente para ser más segura que las suyas?
Un entorno 100% seguro
Un entorno 100% seguro es el objetivo, un objetivo por el que luchar cada día. Al afirmar que sus medidas son suficientes para proteger sus datos, está diciendo que todos los puntos de entrada posibles en cada sistema -desde los servidores de primera línea hasta el servidor de impresión en el armario detrás de las escaleras, pasando por cada estación de trabajo, portátil y teléfono BYOD- están cubiertos. Además, su presencia en la nube híbrida también debe ser segura, con enlaces, despliegues y gestión protegidos.
Se trata de una afirmación muy atrevida y que probablemente figure en la larga lista de "famosas últimas palabras" antes de una ruptura.
La ciberseguridad es un proceso, no un asunto puntual
La adopción de una postura correcta en materia de ciberseguridad no puede lograrse mediante una única herramienta o metodología. Es un camino que todos los miembros de una organización deben recorrer y en el que las acciones de cada individuo son cruciales. Todos deben entender por qué es importante y cómo actuar correctamente para mantener un entorno seguro. Además, se necesitan las herramientas adecuadas para el entorno y los procesos y la mentalidad correctos a la hora de enfocar las operaciones, tanto de TI como empresariales.
Al igual que el proceso defensivo es un objetivo a largo plazo, también lo es el ofensivo. Como en una carrera armamentística, si un bando se detiene, el otro lo alcanza y lo supera. Los nuevos vectores de ataque, el software innovador y las operaciones a largo plazo deben tenerse en cuenta y defenderse para evitar ser la proverbial grieta en la armadura que lo derrumbe todo.
Una mentalidad peligrosa
Asumir que su infraestructura es segura es peligroso por múltiples razones. La más importante es que, si asumes que tus sistemas no son infranqueables porque sigues todas las mejores prácticas y tienes las mejores herramientas configuradas correctamente con una visibilidad del 100% en todo momento, es fácil volverse complaciente y dejar de prestar atención. Esto va en contra del objetivo.
También sesga su planificación estratégica y su proceso de toma de decisiones. ¿Para qué invertir en nuevas tecnologías, prácticas y defensas contra las amenazas emergentes si ya lo considera todo seguro? No existe tal cosa como "seguro seguro", así que una vez que te consideras ahí, dejas de progresar.
El estudio revela que una proporción significativa de los encuestados cree que ya se encuentra en este estado de seguridad o cerca de él, a pesar de que las noticias diarias demuestran lo contrario.
La confianza en las medidas de ciberseguridad de su organización no es intrínsecamente mala, pero debe equilibrarse con un enfoque continuo y proactivo de la seguridad. La complacencia puede conducir a la vulnerabilidad, y ningún sistema es inmune a los ataques. Es esencial mantener la vigilancia, invertir en formación continua, herramientas y prácticas, y mantenerse informado sobre las amenazas emergentes. Adoptando una mentalidad que reconozca la seguridad como un proceso continuo y no como un destino final, las organizaciones pueden protegerse mejor a sí mismas y a las partes interesadas frente a amenazas nuevas y antiguas por igual.