Opinión
Por qué las empresas deben mantener una buena higiene cibernética para mejorar su resiliencia
La resiliencia cibernética ocupa un lugar prioritario en la agenda empresarial de muchas organizaciones, que intentan alinearse con la nueva legislación, como DORA y NIS2, que está llegando en toda Europa. Sin embargo, no importa cuántas soluciones implementen o cuánto se esfuercen, ninguna empresa puede ser 100% ciberresiliente en todo momento. Esto puede deberse a que los empleados están encontrando formas de evadir controles de seguridad para simplificar sus actividades diarias, o quizás porque la organización tiene un alto nivel de deuda técnica y le resulta casi imposible construir un marco alrededor de toda su infraestructura heredada.
Independientemente de la situación en la que se encuentre una organización, el objetivo de la alta dirección y los equipos de seguridad debería ser mantener el mayor nivel posible de ciberhigiene. Pero, ¿qué constituye una “buena” higiene cibernética y cómo pueden las empresas evitar los errores comunes al implementar cualquier nuevo enfoque de ciberseguridad?
La resiliencia se construye sobre un marco sólido
Actualmente, los dos principales obstáculos para una buena higiene y resiliencia cibernética son la falta de un marco de seguridad consistente y de transparencia por parte de los equipos de TI respecto a los peligros reales que hace frente una organización a diario. Muchas organizaciones reaccionan ante los problemas y cuentan con una combinación de estrategias y tecnologías que se han ido acumulando a lo largo de años. Debido a esto, las empresas pueden “sentirse” preparadas, pero generalmente no son conscientes de las brechas en su marco y no tienen métodos formales para probar su nivel de preparación y resiliencia. El CISO y el equipo de seguridad son considerados parte del equipo de TI y, a menudo, no están involucrados en la planificación estratégica del negocio. Esto tiene que cambiar para que las organizaciones estén a la vanguardia en su preparación cibernética: la alineación de la función de seguridad con los objetivos estratégicos de la empresa ya no es negociable.
Por otra parte, una organización puede contar con un “framework” consistente, pero estar mal comunicado debido a factores internos, como el tamaño de la empresa o el territorialismo. Esto complica ciertas medidas de seguridad, puesto que pueden tardar semanas en implementarse o, incluso peor, que los empleados tengan dificultades para comprender su papel en la resiliencia cibernética. Si hablas con cualquier equipo de seguridad, te dirán que los empleados suelen ser la mayor superficie de ataque para las empresas y que muchas infracciones se deber a errores de los empleados. Ahora, con tecnologías como la IA generativa que brindan a los hackers la capacidad de atacar individualmente a miles de empleados en un corto período de tiempo y de una manera más personalizada, esa superficie de ataque solo va a aumentar. Por tanto, si los empleados no comprenden la importancia de la higiene cibernética y por qué debería importarles, lo más probable es que ignoren la “aburrida” capacitación en TI y sigan cayendo en trampas, poniendo a su organización en riesgo de incumplir la legislación.
Involucrar a los empleados y simplificar los procesos
La clave para resolver este problema radica en la capacitación contextual y el equilibrio entre el arte y la ciencia para concienciar sobre el riesgo. Los equipos de ciberseguridad deben dar a conocer los peligros potenciales reales y ser más transparentes sobre lo que realmente está sucediendo dentro de la organización: ¿cuáles han sido los incidentes más recientes? ¿Qué paralelismos se pueden establecer con las filtraciones de medios de alto perfil? Una vez se haya realizado este proceso, se deber informar a los empleados sobre cómo identificar y reportar los problemas al miembro de TI correspondiente. Contar con defensores empresariales que amplifiquen continuamente la voz de la ciberseguridad también es importante para demostrar que es un problema para todos los empleados y que debe tomarse en serio.
Otro nivel de seguridad que las empresas deberían implementar para limitar posibles errores de los empleados es adoptar un enfoque zero trust para cualquier acceso interno o externo. Esto implica la migración del acceso de red enrutado tradicional donde, después de la autenticación inicial, los usuarios obtienen una libertad prácticamente ilimitada para moverse por los sistemas de una organización, hacia un acceso más granular y centrado en la identidad, donde los usuarios autorizados solo tienen acceso controlado e inspeccionado a los sistemas a los que tienen derecho. Las implementaciones zero trust modernas suelen ir de la mano de competencias sandboxing, con trampas atractivas para los atacantes y permitiendo posteriormente a los analistas de seguridad identificar y mitigar rápidamente cualquier violación en el sistema antes de que se produzca un daño real.
Finalmente, las mejores prácticas de seguridad del usuario pueden reforzarse positivamente con una buena eficiencia del sistema y una alta productividad. Los usuarios que sufren un rendimiento deficiente del sistema de TI y deben lidiar con aplicaciones mal diseñadas, probablemente tomarán malas decisiones y accederán a un enlace de phishing o utilizarán software o dispositivos no aprobados. Por ello, una buena experiencia de usuario debería ser una base para cualquier estrategia de ciberseguridad. La ciberseguridad debe facilitar las actividades empresariales en lugar de obstaculizar la realización del trabajo.
Conclusión
El quid del asusto es que el cumplimiento nunca debería ser fácil. Si cumplir con la legislación es tan simple como marcar un par de pequeñas casillas de seguridad, esa legislación no merece existir.
Para que las empresas cumplan con las últimas legislaciones, no solo necesitan entender su portfolio TI y construir un marco de seguridad en torno a él, sino también asegurarse de que todos los miembros de la organización comprendan por qué ese marco es importante y cuál es su papel para reforzarlo. Los equipos de seguridad deben ayudar a toda la organización a comprender que la ciberhigiene es el mismo concepto que el de un cirujano lavándose las manos antes de una cirugía. Puede que no parezca tan importante, pero sin un entorno limpio, las posibilidades de muerte o problemas adicionales se multiplican por diez. Lo mismo puede decirse de la ciberseguridad.
La higiene cibernética debería ser un imperativo para los líderes empresariales en 2024, con los CISO integrados en el corazón de la estrategia empresarial para alinear las funciones de seguridad y los resultados empresariales. De lo contrario, las organizaciones se tendrán que enfrentar rápidamente con la ley, tanto financieramente como, en algunos casos, penalmente. El siguiente nivel de preparación cibernética exige un marco de seguridad claro: una mayor conciencia cibernética por parte de los empleados y tener resultados alineados con los objetivos comerciales.
Firmado: James Tucker, Jefe de Field CISO Internacional en Zscaler