Hoy en día, ya no existen dudas de que la pandemia nos terminó de lanzar al ciberespacio, abriendo nuevas puertas y ventanas a los ciberdelicuentes, exponiéndonos a peligros desconocidos en lo personal y laboral.

La pandemia empujó, en muchos casos de forma desordenada, a la digitalización de todo tipo de organizaciones, haciéndolas cada vez más dependientes de los medios tecnológicos. Así mismo, también nosotros nos transformamos demandando trabajo remoto, educación a distancia, reuniones virtuales, homebanking, y mucho más. Definitivamente, de golpe, nos convertimos en una Cibersociedad.

Claro, los criminales también se sumaron a esta transformación digital, realizando ataques cada vez más sofisticados, de manera masiva o dirigida, y sorpresiva … y seguirán evolucionando junto a la tecnología.

Ahora bien, la información se recaba, fluye, se procesa y almacena en formato digital, físico, papel, verbal, o una combinación. La información, en todo su ciclo, requiere acciones y controles tendientes a protegerla de aquellos riesgos que puedan afectar a su disponibilidad, confidencialidad e integridad. Riesgos que pueden generar un impacto directo en la continuidad del negocio, los ingresos, la rentabilidad, la reputación, o contingencias legales..

Las amenazas no sólo se dan u originan en el ciberespacio, también en el plano real, por lo que es necesario tener en cuenta que existen muchas otras amenazas más.

Por ejemplo, las pandemias, incendios y terremotos son amenazas Naturales que abren la puerta a otras. También existen amenazas por error humano, que son más frecuentes de lo que podríamos suponer. Entre ellas están la perdida/divulgación de contraseña o información, extravío o exposición de equipamiento/documentos, borrado accidental de datos, falta de respaldos de información, ausencia de un plan de continuidad del negocio, falta de capacitación y concientización; entre otras.

Los ciberataques corresponden al tipo de amenazas Intencionales, y no es la única. Por ejemplo, puede existir incumplimiento del marco legal y regulatorio, empleados deshonestos o competencia desleal.

Por caso, la fuga de información (pérdida de confidencialidad), se puede dar cuando un colaborador descuidado o negligente baja información de operaciones comerciales en el pendrive y en su notebook, los lleva en su mochila por la calle y es asaltado por un delincuente común que luego toma acciones. Esto no ocurrió en el ciberespacio.

Hoy más que nunca, es importante que las organizaciones adopten un enfoque integral de identificación y gestión de riesgos, para toda la organización, no sólo desde lo tecnológico, sino que también con foco en las personas y los procesos. Esto se alcanza con un Plan Director en Seguridad de la Información, que soporte los objetivos de la organización en términos de seguridad, es el punto de partida para garantizar una adecuada gestión de riesgos y que los recursos de la organización sean utilizados de manera responsable. Este Plan, se puede enfocar en toda la empresa, en los procesos o sistemas críticos, en un área o activos determinados.

El riesgo cero no existe, sí es posible reducirlo a niveles aceptables, al igual que al impacto de los daños ocasionados. Tampoco existe una solución única que se pueda aplicar. Cada organización tiene su cultura, su tamaño, industria, sus condiciones específicas, y los niveles de riesgo que está dispuesta a aceptar.

Desconocer el riesgo es el principal riesgo, una cosa es aceptar un riesgo y sus consecuencias y otra muy distinta es que nos sorprenda. Ninguna organización está exenta y debe diseñar su propio viaje.

Por Gustavo Gazzaneo, Director de Ciberseguridad – IT Auren