Empresas deben incrementar inversión en ciberseguridad: Data Warden
Las compañías mexicanas necesitan aumentar su conciencia sobre la importancia de tener estrategias en materia de ciberseguridad y destinar recursos para protegerse de posibles ataques.
En México, y el mundo, la ciberseguridad es vista como un “gasto obligado” y no como una inversión e, incluso, algunas compañías lo ven como algo innecesario, comentó Jesús Navarro, director de Data Warden.
En entrevista con ITSitio, el directivo explicó que si bien se trata de un gasto adicional, es algo necesario para tener al negocio en un nivel de riesgo sano.
“Actualmente hay empresas que gastan un porcentaje mínimo de su presupuesto en ciberseguridad, históricamente el presupuesto en tecnología puede ser alrededor de un 10% del total del presupuesto y sobre ese 100% de ese presupuesto gastan una mínima parte en seguridad entre 5 y 10%, entonces es muy poco”, mencionó Navarro.
El directivo ejemplificó contar con una estrategia de ciberseguridad con un seguro, ya que pagar una póliza de seguro es algo intangible pero cuando la necesitas quieres contar con ella.
“En ciberseguridad es el mismo tema pero en este caso además de una póliza que te responda de manera posterior al impacto, en materia de ciberseguridad puedes invertir de manera preventiva, de tal manera que inclusive que mitigues el riesgo antes de que suceda o minimices el impacto”.
El director de Data Warden señaló que cuando se tiene más conciencia del riesgo que se tiene y del beneficio que aporta el tema de ciberseguridad en cuanto a continuidad del negocios, de confiabilidad, empieza a haber un retorno de inversión en ciberseguridad.
“Cuando se llega a monetizar se hace en términos del potencial ahorro en pérdidas de servicio, por ejemplo, si no haces nada en materia de ransomware estás expuesto a estar un mes sin operar, eso pone un poco en alerta a las empresas”.
Ransomware, principal ataque
Ransomware sigue siendo el tema principal “que le duele a todo el mundo”, así como el robo de credenciales e información, aseguró Navarro.
Así como el phishing y ambos, explicó, vienen de una misma fuente, “la falta de cultura en las organizaciones es lo que principalmente afecta y tener las medidas mínimas de estándar tecnológico de prevención”.
El directivo de Data Warden destacó que toda vulneración comienza desde el usuario.
“Una empresa que no tenga la suficiente educación en términos de tecnología o higiene digital es por donde comienza cualquier brote de alguna situación de este tipo y el impacto sigue siendo el mismo, hay mucho foco en ransmoware porque es un tema muy monetizable por parte de los atacantes de manera muy inmediata y robo de identidad sigue siendo relacionado con el tema financiero”.
En el caso de ransomware, el directivo indicó que cuando las empresas ya fueron atacadas y no tienen la infraestructura y respaldos de información necesarios, probablemente van a tener que recurrir a pagar por la liberación de la información, que no es lo recomendable, pero si no tienen un punto sano de recuperación probablemente van a caer en ello.
“Lo ideal es no apanicarse y ver de qué manera se pueden rescatar la información y servicios de manera alterna, normalmente se tienen backups, respaldos se puede inclusive pensar en regenerar la propia infraestructura pero ello implica tiempo y esfuerzo”.
También es necesario conocer si el equipo puede responder rápidamente así como los proveedores y de ahí dependerá de que sea un proceso de un par de horas, días o semanas, advirtió.
Protección desde cero
Data Warden cuenta con una serie de controles tecnológicos iniciando con la concienciación sobre el riesgo tecnológico al que está expuesta la empresa y que cuantitativamente lo mida, lo tenga claro y tenga una política de seguridad que le permita ir controlando ese riesgo, mencionó Navarro.
“A nivel de tecnología hay mucha cosas que se pueden hacer desde control en los dispositivos móviles, de cómputo, correo electrónico, en la nube, en las aplicaciones, el tema de identidad es un tema prioritario y es donde hay que poner foco, asegurarse de que las personas cuando se conectan sean quien dice ser, que tengan los perfiles de acceso correctos, que tengan el mínimo permiso necesario para entrar a las aplicaciones, de tal manera que contengas mucho la posibilidad de un acceso no autorizado”.
Para ello, Data Warden cuenta con la capacidad de ofrecer servicios llave en mano, desde la concepción del proyecto con servicios de consultoría y apoyo para el tema de identificación de riesgos, potencial impacto al negocio, análisis de riesgos, política de seguridad y plan maestro de seguridad, detalló.
Asimismo, tienen una unidad de arquitectura que permite a los clientes implementar todos los controles que requiere a nivel tecnológico para apalancar su política de ciberseguridad, además de una unidad de servicios administrados para apoyar al cliente a operar toda la solución.
