Cuatro síntomas de una empresa poco preparada para manejar una cibercrisis

Las amenazas en el entorno digital vienen siendo cada vez más comunes. Entre ellas se encuentran los malwares, ataques en la web, inyección de códigos dañinos o la suplantación de identidad (phishing). Según datos recientes de la Agencia Europea de Seguridad, el 92% de infecciones por malware detectadas ingresaron por correo electrónico, herramienta por donde se transmite gran parte de la información de las empresas.

Pese a las medidas preventivas a tomar, el riesgo nunca es cero, según Narciso Basic, Business Information Security Officer (BISO) de Equifax para Perú, Ecuador y Chile. El ejecutivo afirmó durante la “Conferencia Iberoamericana de Continuidad del Negocio, IT y Resiliencia de DRJ en Español” que la ciberseguridad es responsabilidad de todos los colaboradores, no solo del líder de seguridad de la información. Todos deben estar habilitados para dar una “primera respuesta” en una situación de crisis.

“Actualmente, cualquier proyecto desarrollado en Equifax, pasa primero por el área de seguridad. Se revisan códigos y se testea. Al ser herramientas con las que se gestionan millones de datos, el área de seguridad necesita dar una confirmación previa antes de pasar a producción”, afirmó el directivo de Equifax, empresa que ha invertido más de US$ 1,250 millones en seguridad y plataformas tecnológicas desde el 2017.

Narciso Basic compartió estos cuatro síntomas que deben tomar en cuenta las empresas para determinar si están preparadas frente a riesgos en ciberseguridad.

1. Sin presupuesto. Suele ocurrir que las áreas de negocio incorporan los presupuestos relacionados a seguridad dentro del área de tecnología. Esto es un error común, porque sus presupuestos debieran ser separados. El primer punto de la falta de preparación de una empresa, es la falta de recursos y su consecuencia es una menor captación de profesionales de seguridad.

2. Ausencia de capacitación en directivos. Los gerentes de primera línea de las empresas no necesariamente están preparados para manejar una crisis cibernética y se requiere capacitarlos. En teoría se hacen pruebas de manejo de cibercrisis, pero frente a una crisis real, uno nota quién está capacitado y quién no. Las empresas globales deben revisar, país por país, cuáles son sus lecciones aprendidas en estos casos.

3. Riesgos invisibles. Muchas instituciones tienen riesgos, pero no cuentan con los procesos o herramientas adecuadas para poder visualizarlos, por lo cual estos no pueden ser gestionados. Por ejemplo, el no tener el proceso de manejo de crisis documentado, probado de forma periódica y conocido por los colaboradores que son parte del grupo que los lidera, pone en riesgo a las instituciones y a sus colaboradores. Es vital tener todo lo mencionado para identificar los riesgos y ver las posibilidades de mejoras, con objeto de sensibilizar a los grupos directivos que toman las decisiones.

4. Falta de liderazgo de seguridad. Los directorios deben contar con presencia de un gerente de seguridad de la información (CISO, por sus siglas en inglés), para evitar que al nivel más alto se hable de seguridad sin un profesional experto. El CISO (Chief Information Security Officer) debe sentarse al lado del CEO y junto al resto de los líderes de cada área. Este punto es vital con objeto de que todo lo relacionado con la ciberseguridad de la empresa tenga visibilidad a los más altos niveles de la compañía.