¿Qué nos duele en Ciberseguridad en Latinoamérica? Entre el 15 y el 19 de junio de 2023 aplicamos un sondeo anónimo seguido de una encuesta del 20 de junio al 24 de julio.
Los siguientes son los resultados finales de la encuesta:
1. Compromiso y/o Comunicación con la Alta Dirección (36%)
2. Capacitación en ciberseguridad para el personal de TI y/o ciberseguridad (24%)
3. Cultura de ciberseguridad en la organización (53%)
4. Atracción y/o retención de talento de ciberseguridad (18%)
5. Ataques y panorama actual de amenazas (20%)
6. Presupuesto insuficiente para cubrir los riesgos identificados (40%)
La suma de los porcentajes es cercana al 200% porque a los encuestados se les ofreció la oportunidad de identificar sus dos retos más importantes.
Además de los anteriores, hubo otros que se pueden categorizar como:
Gestión de la ciberseguridad
Necesidad de autoridades competentes en ciberseguridad
Seguridad de Tecnologías de Operación (OT)
Seguridad de Aplicaciones
Seguridad de aplicaciones de Inteligencia Artificial (IA)
Protección de Datos Personales
Agotamiento del personal
1. Compromiso y/o Comunicación con la Alta Dirección
Para la Alta Dirección es en ocasiones difícil hacer la traducción de asuntos tecnológicos a asuntos de negocio. Es frecuente también que a los líderes de tecnología también les resulte difícil hacer esa traducción.
La clave está en la gestión del riesgo de la información, o riesgo de TI como generalmente lo llaman. Para que ello ocurra, tanto los líderes de tecnología como la Alta Dirección deben entender los principios de la gestión del riesgo y aplicarlos debidamente en su toma de decisiones. No todos los directivos y ejecutivos deben convertirse en expertos técnicos para comprender los riesgos de la información. Pero si deben poder establecer la tolerancia de su empresa a estos riesgos, definir claramente sus expectativas para guiar la inversión en ciberseguridad y fomentar una cultura de ciberseguridad y resiliencia.
Si tu junta directiva y los ejecutivos de tu organización no están cumpliendo con los requerimientos anteriores, difícilmente podrán acertar en sus decisiones, desde la perspectiva de gestión de riesgo.
Por lo tanto, se vuelve imprescindible que se expongan a la información y conocimientos, necesarios y suficientes, para cumplir la tarea.
¿Cómo les podemos ayudar? Solicita información del Taller de Seguridad de la Información para Equipos Directivos del CONSEJOSI (TED). Este taller de 90 minutos destila y empaqueta nuestra experiencia de más de 14 años con la finalidad de aportar claridad, estructura y consenso en la toma de las decisiones que fundamentan el Programa de Seguridad de la Información.
2. Capacitación en ciberseguridad para el personal de TI y/o ciberseguridad
Es común que en la Alta Dirección se asuma que sus empleados en las áreas de TI dominen la ciberseguridad. Sin embargo, esa no es nuestra experiencia en la realidad, sino todo lo contrario. Exceptuando a las organizaciones que han alcanzado niveles superiores de madurez de su programa de ciberseguridad, las demás sufren de personal de TI que desconoce las implicaciones de sus acciones en la ciberseguridad.
Por otra parte, es poco frecuente que las organizaciones cubran el costo de los cursos y certificaciones de sus empleados. El paradigma prevaleciente es más bien buscar en el mercado laboral el talento que ya tenga las certificaciones necesarias.
He sido testigo también de casos en donde una organización hace un gasto cuantioso en tecnología de ciberseguridad en el orden de los cientos de miles de dólares, pero no destina una pequeña fracción a la capacitación de los empleados que operarán esa misma tecnología.
Entre las razones comúnmente mencionadas de por qué no se capacita al personal de TI y/o ciberseguridad se encuentran:
Si los capacitas y se certifican, se van a otro empleo
No hay presupuesto para capacitación
No lo necesitan, sobre la marcha van aprendiendo
¿Cómo les podemos ayudar? Para resolver el caso de la capacitación, hemos desarrollado una metodología para la Detección de Necesidades de Capacitación en Seguridad de la Información (DNCSI). Esta herramienta de diagnóstico identifica las brechas de conocimiento del personal de TI y ciberseguridad entre lo que debe saber para realizar su puesto y lo que actualmente conoce. Luego se mapean estos requerimientos a los cursos correspondientes. Solicite información de este servicio y de cómo podemos aportar argumentos sólidos a los tres razonamientos anteriores.
3. Cultura de ciberseguridad en la organización
Las quejas sobre la falta de Cultura de Ciberseguridad en la organización se centraron en el desconocimiento del personal en ciberseguridad, la falta de compromiso real de la organización con este tema más allá del cumplimiento normativo, la ineficacia de los métodos tradicionales de concienciación, la falta de comprensión sobre la relevancia del tema y la poca colaboración del personal en la seguridad de la información.
Las consecuencias para una organización que carece de una sólida Cultura de Ciberseguridad son entre otras:
Mayor riesgo de las amenazas internas
Vulnerabilidad a la Ingeniería Social y propagación de malware
Impacto negativo en la moral y comunicación con los empleados
Mayor exposición a los incidentes de ciberseguridad
Implementación de soluciones improvisadas e inseguras
En términos generales, son las organizaciones con una débil Cultura de Ciberseguridad las que por lo anterior están más desprotegidas ante un incidente. En caso de que se materialice, las consecuencias de negocio pueden ser:
Disminución de la competitividad
Reducción de la calificación crediticia
Incremento en las primas de seguros
Daño reputacional
Daño económico
Interrupción de las operaciones
Respuesta ineficaz ante los incidentes de ciberseguridad
¿Cómo les podemos ayudar? Permite que nuestros aliados, con experiencia en transformación cultural, puedan presentarte una solución a la medida de tu organización.
4. Atracción y/o retención de talento de ciberseguridad
En América Latina, de acuerdo al (ISC)² 2022 Cybersecurity Workforce Study se requieren 600 mil profesionales más. Este déficit ejerce una presión importante en el mercado laboral. Algunas posiciones se llegan a cotizar significativamente más alto que sus contrapartes de jerarquía similar en las áreas de TI. Inclusive, para algunas posiciones muy especializadas, sencillamente no se encuentra el personal.
Una práctica que hemos observado con frecuencia consiste en promover a alguna persona de las áreas de TI para que ocupe una posición en ciberseguridad. Eso está muy bien, sin embargo, también es frecuente que suma su puesto sin la debida capacitación. Tal como lo mencionamos en el punto 2 anterior.
Hace algunos años, le demostramos a un CIO que ciertos hallazgos de alto impacto reportados en una prueba de penetración se debían a un control mal gestionado por causa del desconocimiento del responsable. La capacitación certificada de esa persona costaba, en aquel tiempo, menos de USD$1500. Me dijo: ¿qué pasa si se certifica y se va? Voy a perder ese dinero.
Mi respuesta fue: El tamaño de tu riesgo no es de esa magnitud, sino proporcional al impacto al negocio si un cibercriminal logra penetrar como lo hicimos nosotros. De hecho, tu riesgo es mayor si no lo capacitas y se queda.
¿Cómo les podemos ayudar? Capacitando a tu personal de TI y ciberseguridad. Además, si tienes vacantes no cubiertas, podemos ayudarte a difundirlas para que logres atraer talento. Contáctanos.
5. Ataques y panorama actual de amenazas
Inicio afirmando que de acuerdo a todos los estudios prospectivos, los daños que causa el cibercrimen seguirán creciendo cuando menos en los próximos tres años. No hay actualmente ninguna señal que indique lo contrario.
¿Qué es lo que se está observando? Las organizaciones se están interesando en la ciberseguridad principalmente por dos razones:
1. Porque han sido obligados a cumplir con algún requerimiento legal, regulatorio o contractual.
2. Porque ya fueron atacados.
En cifras, lo anterior se refleja de la siguiente manera: mientras los daños del cibercrimen se estiman en $11.5 billones de dólares para el 2023, las ventas globales de la industria de ciberseguridad ascenderán a solo $335,000 millones en el mismo año. Es decir, los daños superan por más de 34 veces la prevención.
No es aventurado aseverar que los cibercriminales están de fiesta atacando a millones de organizaciones en el mundo que han decidido ignorar el riesgo.
Las preocupaciones expresadas en el sondeo incluyen el creciente riesgo de robo de información, la evolución acelerada de amenazas, los ataques al Correo Electrónico Empresarial (BEC), ataques de ransomware, intentos de phishing y la insuficiente acción de las autoridades contra los infractores.
¿Cómo les podemos ayudar? Considerando que el panorama de amenazas será más hostil en el futuro previsible. Lo que propongo es que se atiendan los puntos del 1 al 4 de este artículo para enfrentar este reto.
6. Presupuesto insuficiente para cubrir los riesgos identificados
Voy a decir algo contraintuitivo: este no es un problema para el profesional de ciberseguridad o de TI. ¿Quiénes pierden en un incidente de ciberseguridad? El dueño o los accionistas del negocio. Por lo tanto, las decisiones de gobierno de la ciberseguridad, de las que deriva la asignación de los recursos apropiados, deben recaer en la junta directiva, la cual a su vez, las transfiere a los ejecutivos de alto nivel.
Si la junta directiva ignora la ciberseguridad, eso también es una decisión. Mala, pero decisión al fin. Si la junta directiva decide que van a asignar pocos recursos a la ciberseguridad, eso no es cuestionable por nadie porque la definición de la tolerancia al riesgo es un asunto que solo les compete a ellos. Si los accionistas no les exigen y resulta que ocurre un incidente, ya veremos que sucede en la siguiente asamblea de accionistas. Mientras tanto, para eso se designan las juntas directivas.
Ahora bien, se requiere que la Alta Dirección en las organizaciones tenga la conversación correcta sobre la ciberseguridad para gestionarla adecuadamente. Esta conversación debe girar en torno a la gestión del riesgo. Hay un rol de la junta directiva en esto y otro de los ejecutivos de alto nivel. De ellos se desprende a lo que se deben alinear la función de ciberseguridad. Dependiendo de ese alineamiento serán los requerimientos y asignación de recursos.
Nadie está obligado a lo imposible. Los ataques seguirán, las pérdidas también. Lo que hay que garantizar es la continuidad de las operaciones minimizando los impactos.
¿Cómo les podemos ayudar? Solicita información del Taller de Seguridad de la Información para Equipos Directivos del CONSEJOSI (TED). Este taller de 90 minutos destila y empaqueta nuestra experiencia de más de 14 años con la finalidad de aportar claridad, estructura y consenso en la toma de las decisiones que fundamentan el Programa de Seguridad de la Información.
