¿Por qué aún tenemos tantos desafíos en ciberseguridad?

El último reporte de Cybersecurity Ventures estima que para el 2023, a nivel global, los costos de los ciber ataques alcanzará los US$ 8 trillones, superando el impacto estimado en catástrofes naturales.

Para comprender esos costos, debemos considerar que el cibercrimen impacta con la destrucción de información, pérdida de productividad, apropiación indebida de propiedad intelectual, amenaza a la información personal y financiera, fraude, restablecimiento de los negocios postataques, investigación forense, restauración y recuperación de data y sistemas, impactados, todos ellos, por ciberdelincuentes y daño reputacional.

El costo anual de US$8 trillones anuales, para graficarlo a la realidad, implica que, por cada segundo, perdemos US$ 255.000. Si midiéramos el cibercrimen como un país, su economía representaría la tercera posición después de Estados Unidos y China.

Debemos tomar conciencia y acción hacia la ciberseguridad como una variable adicional a gestionar en el día a día, ya que su alcance se extiende más allá de lo que conocemos o creemos conocer. El factor humano es el primer desafío que debemos abordar, educar y concientizar para modificar comportamientos.

El informe de riesgos globales 2022, elaborado por el Foro Económico Mundial, posiciona a la ciberseguridad como el segundo riesgo de mayor relevancia después de la crisis climática, ya que pone en jaque la sostenibilidad de una sociedad conectada y sus economías digitales, compuesta por individuos, organizaciones y naciones.

A nivel mundial, de acuerdo al Cyber 2021 Conference, el riesgo inmediato lo presentan los ataques del tipo ransomware, y Chile no es la excepción.

Expertos aconsejan a las empresas y sus directorios para “hacer más” y protegerse mejor. Es interesante el rol que deben tomar hoy los CISOs (chief information security officer), ya que deben velar e implementar la estrategia de seguridad de la información definida, y por otro lado, interactuar con ejecutivos no técnicos y directorios, en un idioma simple, no técnico, y 100% enfocado en el negocio.

En esa dirección hemos presenciado cómo prácticas de trabajo se han adoptado en forma creciente para gestionar el riesgo de la ciberseguridad a través de un lenguaje común. Un ejemplo relevante, es el Marco de Ciberseguridad del NIST: NIST es el acrónimo de Instituto Nacional de Estándares y Tecnología (National Institute of Standards and Technology, en inglés) dependiente del Departamento de Comercio de USA.

El framework de Ciberseguridad del NIST ayuda a los negocios de todo tamaño a comprender mejor sus riesgos de ciberseguridad, administrar y reducir sus riesgos, y proteger sus redes y datos.

Hoy la adopción en este framework es voluntario, y si bien su foco inicial se vinculó a instituciones de gobierno para que las áreas no técnicas cuenten con un framework en un lenguaje común, su adopción se expandió al uso por empresas y hoy miles de ellas en USA gestionan la ciberseguridad con este framework. No sólo entrega al negocio de las mejores prácticas, sino asegura que todas las áreas involucradas, sean técnicas o de negocios, colaboren con la ciberseguridad a través de un lenguaje común.

El aumento de los dispositivos tecnológicos y la velocidad de conexión 5G, crecerá exponencialmente la superficie susceptible de ataques. Cada vez hay más personas conectadas a Internet, y a nivel de operaciones y procesos, contamos con más empresas que integran tecnologías para digitalizarse, y la apertura de los negocios requiere que las empresas colaboren con su ecosistema, lo que incrementa los puntos de entrada a los sistemas empresariales.

Según el informe Tendencias de Amenazas a la Seguridad Cibernética de 2021 de CISCO, alrededor del 90 % de las filtraciones de datos se producen debido a la suplantación de identidad, dejando en evidencia que las personas son el eslabón más débil en la cadena de la seguridad.

Por eso, invertir en los colaboradores de la empresa en ciberseguridad, en formación, simulación, gestión de crisis (ataques), entre otros, en todas sus áreas, es una de las claves.

Hoy es clave preparar y reforzar el capital humano en la empresa y además el extendido (proveedores). La estrategia de las empresas debe estar enfocada en el entrenamiento del personal y en construir una cultura de ciberseguridad de cara al 5G.

Las pymes deben tener extremo cuidado de ataques del tipo phishing, malware spying, ransomware, suplantación de identidad y brechas mayores que puedan exponer su seguridad. Si bien, esta categoría de empresas se siente “fuera del radar”, las estadísticas globales indican que son foco de más de la mitad de los ataques, con un impacto devastador, 60% de ellas cierran sus operaciones post un ciberataque, debido a la falta de recursos y habilidades para gestionarlo.

En Estados Unidos, país referente en temas de adopción de tecnologías, se estima que el 55% de las pymes no cuenta con recursos o conocimientos para hacer frente a un ataque o para desarrollar un plan de ciberseguridad.

Generar las políticas para ello, formar, educar, concientizar e implementar soluciones es clave, un gran ejemplo en la materia es la iniciativa INCIBE del Gobierno de Español para este grupo objetivo de empresas.

El factor humano es clave, desde la educación, concientización hasta lograr cambios en su comportamiento. En temas de ciberseguridad desde el 2013 al 2021 la brecha de talento se ha incrementado en un 350%. Se estima que a nivel mundial existe un déficit de 3.5 millones de profesionales, y sólo en USA de acuerdo a la revista Fortune son más de 700.000.

A nivel global, la participación de mujeres llega al 25%, y se espera que logre el 30% al 2025. Esta disparidad ha generado movimientos positivos en diferentes geografías para impulsar sus talentos, prueba de ello en Chile, desde hace tres años, la Alianza Chilena de Ciberseguridad destaca anualmente a las mujeres más reconocidas por sus pares en el rubro.

Las empresas hoy, en mayor o menor grado son digitales. La única forma de defenderse de las amenazas emergentes es darle prioridad a un mejoramiento continuo, colaborativo y proactiva en búsqueda de elevar los estándares y resiliencia tecnológica.