Aunque la ciberseguridad debería ser una de las prioridades de las empresas, no parece que se estén alcanzando las metas. Un estudio desarrollado por Microsoft y Marsh muestra que la confianza en la protección contra ciberriesgos de las compañías ha empeorado. gestión de ciberamenazas
Sin embargo, dicho informe también propone varias claves y prácticas para la construcción de la gestión de ciberamenazas. En este post del blog de Befree comentamos las más destacadas.
Caída de confianza
¿Cuánta confianza tienen las empresas en su capacidad de gestión de ciberamenazas? Esa es la pregunta que ha querido responder el informe The State of Cyber Resilience, elaborado entre las compañías Microsoft y Marsh y a cuya descarga se puede acceder a través de este enlace. Casi tres años de interrupciones en el lugar de trabajo, transformación digital y ataques de ransomware significan que la mayoría de los líderes organizacionales no confían más en su capacidad para administrar el riesgo cibernético.
El estudio ha preguntado a más de 660 CEOs y responsables de la gestión de ciberamenazas a nivel mundial, y ha analizado cómo el riesgo es visto y entendido. Según los resultados, la confianza en las capacidades centrales de gestión de riesgos se mantiene casi idéntica a la de 2019. Entonces, el 19,7% de los encuestados declararon que tenían mucha confianza. Actualmente, dicho dato se reduce a un 19%. La gestión de riesgos incluye conceptos como la comprensión y evaluación de las amenazas cibernéticas y la prevención y respuesta ante los ataques cibernéticos.
Un motivo de todo esto lo ofrece la directora de Cyber de Marsh, Sarah Stephens: «existe un continuo aumento del ransomware en el actual panorama de amenazas tumultuosas. Por ello, no sorprende que muchas organizaciones no se sientan más seguras ni confíen más en su gestión de ciberamenazas ahora que en 2019″. Por otro lado, solo el 43% de los encuestados dijo haber realizado una evaluación de riesgos de sus proveedores o cadenas de suministro.
Claves para lograr una correcta gestión de ciberamenazas
El mismo informe de Microsoft y Marsh ofrece una serie de buenas prácticas, claves y consejos para que las empresas logren una buena defensa antes las ciberamenazas. A continuación detallamos algunas de ellas:
1- Alinear los objetivos de la empresa con el desarrollo de la ciberresiliencia
Una buena manera de fortalecer la ciberseguridad es asociar su crecimiento al propio crecimiento de la empresa. Para conseguir esto, la implicación de los jefes ejecutivos y de departamentos es indispensable.
Algunas recomendaciones del informe son que estos se comprometan a una comunicación continua e interfuncional en relación con las amenazas de ciberriesgos. Su participación en la planificación de la gestión de las ciberamenazas y en las revisiones posteriores a los incidentes también es deseable.
2- Mirar más allá del ransomware
A pesar de que el ransomware, o ‘secuestro de datos’ en español, es el ciberataque más común, no por ello hay que dejar de centrarse en los restantes. Los líderes ejecutivos deben recibir actualizaciones periódicas sobre las amenazas, pero también poner atención propia en la cuestión y aprobar estrategias y líneas a seguir en caso de ciberataques.
Por su parte, los líderes de departamento pueden supervisar, revisar y compartir regularmente las actualizaciones de la evaluación de amenazas, tener un plan de respuesta a incidentes cibernéticos que se revise y pruebe anualmente o participar en ejercicios de formación para ayudar a comprender las funciones y responsabilidades y cómo actuar en caso de incidente.
3- Más controles equivalen a más seguridad
Esta clave es tan simple que con un simple vistazo a su título se entiende su propósito. Cuantas más comprobaciones de seguridad se realicen, más sencillo será detectar qué falla y qué funciona.
A este respecto, los CEOs deben promover estrategias organizativas de gestión de riesgos que incluyan el desarrollo y el mantenimiento de la seguridad entre todos los usuarios. Por su parte, los líderes de departamento pueden servirse de ellas para aprovechar las sinergias entre herramientas y tácticas de prevención de ciberriesgos.
4- Revisar y evaluar las nuevas tecnologías
Finalmente, el último consejo está relacionado con las nuevas adquisiciones. Las nuevas tecnologías deben ser evaluadas y supervisadas de forma continua, tanto antes de obtenerlas como una vez implementadas en el funcionamiento de la empresa.
La mejor manera de hacer esto es evaluar si la tecnología a contratar implica riesgos asumibles o no. Tras la adquisición, se debe hacer responsables a los departamentos de la supervisión de sus tecnologías. Además, es conveniente contar con la ayuda de expertos externos durante todos estos procesos para evitar pillarse las manos.