Por Ricardo Velasco Barba, cofundador de Cyberwag (cybersecurity intelligence)
Cuando hablamos de ciberseguridad, existen sin duda muchos puntos de vista y opiniones sobre los límites, áreas de acción, o responsables directos e indirectos en la materia. Pero también alrededor de este tema se han construido distintos mitos sobre lo que es o no es ciberseguridad.
A continuación, enlistamos algunos mitos que Dejan Kosutic (experto en el estándar de seguridad Lead ISO 27001/ISO22301) escribió en su libro “Ciberseguridad en 9 pasos”.
Mito n.° 1: Ciberseguridad es lo mismo que tecnología de la información (TI)
En este punto el autor nos plantea un escenario donde un administrador de sistemas disconforme desactiva intencionalmente su aplicación central y borra sus bases de datos más importantes. Difícilmente este asunto es una cuestión de TI dado que la persona en cuestión necesita tener acceso directo a todos sus sistemas. Por eso, la forma de prevenir este tipo de escenarios queda afuera del área tecnológica y tiene que ver con la forma de seleccionar a los empleados, cómo supervisarlos, qué clase de documentos legales se les ha hecho firmar, etc.
Sin duda, la tecnología de la información y sus medidas de seguridad son extremadamente importantes en ciberseguridad, pero ellas solas no son suficientes. Estas medidas deben estar combinadas con otros tipos de protección para que sean efectivas.
Mito 2: La alta gerencia no tiene nada que ver con la ciberseguridad
Sobre este mito Dejan Kosutic nos recuerda qué para la implementación de una correcta estrategia de seguridad en una empresa, ésta tiene que contar con el total apoyo de la alta gerencia para asignar los recursos necesarios (dinero, tiempo y esfuerzo) y además predicar con el ejemplo al apegarse a dichas medida de seguridad que de ahí emanen.
Nos pone como ejemplo que cualquier esfuerzo tecnológico será en vano si un ejecutivo maneja sin el menor cuidado documentos confidenciales de su empresa o clientes en una laptop sin la protección adecuada. Si un gerente de alto rango no se apega a las políticas de seguridad, difícilmente el resto de las personas de la empresa lo harán debido a que el mensaje que reciben es que estas no son importantes en realidad.
Mito 3: La mayor inversión será en tecnología
Falso. A juicio del autor la inversión en tecnología representa en la mayoría de las veces menos de la mitad de la inversión total. Y en algunos casos señala hasta puede ser menor al 10%. El grueso de la inversión habitualmente se destina al desarrollo de políticas y procedimientos, capacitación y concienciación, etc.
Mito 4: En seguridad no existe el rendimiento de la inversión (ROI)
En efecto, Dejan Kosutic establece que la seguridad cuesta dinero y, esta protección no traerá en general ingresos adicionales. Pero sin duda la ciberseguridad bien implementada evitará los costos relacionados con problemas de seguridad. Cuando se logra disminuir la cantidad y/o la duración de los incidentes de seguridad, ahorrará dinero. Y dichos ahorros muchas veces sobre pasan los costos de implementación de esas medidas de seguridad, más aún cuando el impacto va directo a la imagen y credibilidad de la marca de dicha empresa.
Mito 5: La ciberseguridad es un proyecto de una única vez
Falso. La ciberseguridad es un proceso permanente. La estrategia de seguridad debe de ser evaluada y actualizada con regularidad, sobre todo luego de algún incidente mayor donde se tenga que hacer alguna introspección después de dicho evento para evaluar qué fue lo que ocurrió, establecer causas raíz y establecer nuevos mecanismos o adecuaciones a los existentes para buscar evitar vuelva a ocurrir ese tipo de incidentes
Mito 6: El mito de la documentación
El autor reflexiona que el hecho de redactar una pila de políticas y procedimientos no significa que sus empleados automáticamente comenzarán a cumplirlos. La seguridad, prosigue, implica un gran cambio y, para ser francos, a nadie le gusta modificar las prácticas ya establecidas. Pone como ejemplo, la “molestia” para algunos usuarios el hecho de tener que cambiar constantemente su contraseña cumpliendo con ciertas características de longitud y combinación de caracteres, además de no poder usar contraseñas anteriormente usadas. Esto significa que sus empleados se resistirán al cambio y que tratarán de encontrar formas para eludir estas nuevas normas.