Según números estimados de Gartner, la inversión global en Seguridad de la Información en el año 2017 fue de aproximadamente US$ 85 mil millones, representando un valor récord y un aumento del 7% en comparación con el año 2016. Durante este año, se calcula que esta cifra alcanzará US$ 93 mil millones.
Sin embargo, el año 2017, en el cual se invirtió un valor récord, fue el período en que presenciamos mayores pérdidas a causa de ataques cibernéticos. Algunos estudios indican que se ha reducido el número de incidentes, pero el impacto aumentó significativamente.
El ejemplo que mejor ilustra esto es el ransomware (un virus o programa dañino que limita el acceso a determinados archivos y pide un rescate a cambio de eliminar esta restricción) que, sólo con casos más públicos como WannaCry y Petya/notPetya (programas tipo ransomware), generaron pérdidas estimadas entre US$ 5 mil millones y US$ 10 mil millones. Respecto a este tipo de ciberataques, hubo casos significativos, como los reportados por las compañías navieras que perdieron cientos de millones de dólares y ensambladores de automóviles que tuvieron sus fábricas paradas durante días. Analistas prevén que las pérdidas totales generadas por crímenes y fraudes cibernéticos alcanzarán billones de dólares al año.
Certifíquese de que la seguridad en su compañía está siendo «operacionalizada» como debe ser.
La pregunta que surge es: a pesar de las inversiones crecientes en seguridad, ¿cómo es que los ataques siguen ocurriendo y de manera más agresiva?
Lamentablemente, la respuesta no es trivial, porque incluye enfoques diferentes. Pero, sin duda, un punto importante es que el crimen cibernético se ha convertido en un negocio muy rentable para los criminales de diferentes partes del mundo. Olvide el tráfico de armas y drogas, el negocio con la mejor relación riesgo/recompensa para organizaciones fraudulentas, es actualmente esta tendencia informática. En ese sentido, por más que crezcan las inversiones en seguridad, todavía rivalizarán con la alta capitalización y la organización de bandas mundiales que se han especializado en el tema. Hace algún tiempo que ya se ha observado incluso una cadena de valor –con software malintencionado, distribuidores, invasores, modelos de negocio con alquiler como un servicio, compra de licencias– con altos niveles de sofisticación técnica y comercial.
Pero eso no significa que nada se pueda hacer, por el contrario, si tomamos como ejemplo justamente los ataques más conocidos y citados arriba, se percibe que eran conocidas las vulnerabilidades explotadas para causar los daños. Las empresas fueron víctimas por fallar en tareas simples, tales como la Gestión de Actualizaciones (Patch Management) de sus plataformas más comunes (Windows). Además, muchos ataques son sofisticados en términos tecnológicos, pero sencillos en el enfoque, como, por ejemplo, una simple suplantación de identidad.
Por lo tanto, hay otra importante lección a ser aprendida: la seguridad no tiene que ver sólo con herramientas sofisticadas, biometría, inteligencia artificial, capacidad analítica, entre otras técnicas para predicción, detección y respuesta a incidentes. No tiene que ver sólo con otras poderosas herramientas que tenemos disponibles hoy en día. Estas son esenciales, pero no suficientes si viejos controles, como procesos estructurados de gestión y personal calificado, no están presentes.
Por eso, certifíquese de que la seguridad en su compañía está siendo «operacionalizada» como debe ser. Si no lo está, y le faltan recursos para hacerlo, considere apoyarse en un socio de seguridad que pueda hacerlo. Empresas establecidas no sólo en materia de seguridad, sino éticas en cada aspecto de los negocios, comprometidas con el desarrollo de sus profesionales y con la capacidad de entregar resultados durante años de prestación de servicios, son los socios ideales en esos momentos. Afortunadamente, hemos visto un creciente movimiento de búsqueda por excelencia operativa que, sin duda, contribuirá a la mayor maduración del mercado en el tema de seguridad.
