stock.adobe.com
El despertar de la conciencia en ciberseguridad
Las organizaciones se han acostumbrado a ignorar las pequeñas alertas de seguridad y los síntomas iniciales de algún problema, en una postura reactiva que cuesta mucho tiempo, dinero y esfuerzo.
“No es posible despertar la conciencia sin dolor”. Parece que esta máxima de Carl Jung, padre de la Psicología Analítica, es ahora uno de los referentes de pensamiento en la operación de ciberseguridad para las organizaciones y sus equipos. Desafortunadamente, nuestras organizaciones se han “acostumbrado” a ignorar las pequeñas alertas de seguridad, los síntomas iniciales y los precursores o antecedentes, prestando atención únicamente a esta área cuando el síntoma es catastrófico.
Hoy en día, la mayoría de las organizaciones desconocen o ignoran cuando las redes presentan esos pequeños síntomas que indican posibles problemas en la ciberseguridad, como los clics hechos en correos de phishing o notificaciones sobre descargas de contenido malicioso, reaccionando solo cuando la alerta de encriptación o la fuga de información se convierten en las señales finales de un desastre.
Este comportamiento ha normalizado la existencia de estos pequeños síntomas tempranos que muestra la red de una organización antes de una cibercatástrofe, y ha concentrado los esfuerzos en mantener una falsa sensación de seguridad basada en un mensaje preventivo repetitivo e ineficiente. ¿Cuál podría ser la explicación válida para que uno de nuestros colaboradores esté recibiendo correos fraudulentos con frecuencia? ¿Cuánto tiempo podrá este usuario resistir sin “caer” en uno de estos correos, comprometer sus credenciales y, por ende, los sistemas de la organización?
De acuerdo con el “Cost of a Data Breach Report” de 2023, elaborado por IBM y Ponemon, a las organizaciones les tomó en promedio 204 días darse cuenta que están comprometidas, y cerca de 73 días para contener una brecha de seguridad. En total, los atacantes tienen una ventaja de 277 días, lo que representa un gran costo para cualquier empresa.
Es un hecho que la importancia del “awareness” cobra una gran relevancia dentro de la resiliencia de la ciberseguridad de las organizaciones. La capacidad para que las organizaciones puedan “auto observarse” a través de la visibilidad y la detección de amenazas en sus propias redes surge como el camino inicial hacia un posible estado de cero compromisos en ciberseguridad. Un ejemplo de esto es que el 89 % de los CISO de organizaciones en toda América están liderando proyectos para mejorar la observabilidad, visibilidad y detección.
Teniendo claro este panorama en ciberseguridad y volviendo a las ideas de Carl Jung: “Uno no alcanza la iluminación fantaseando sobre la luz, sino haciendo consciente la oscuridad…”. Esta máxima propone un camino para las organizaciones hacia el autoconocimiento de su nivel o estado de compromiso, identificando qué es lo que no funciona en su estrategia y táctica de ciberseguridad, y reconociendo cuál es la falla dentro de sus equipos. Este proceso de iluminación de sus redes genera resultados asombrosos en la resiliencia y en la eficiencia de las organizaciones al abordar de manera efectiva la ciberseguridad.
Sobre el autor: Germán Patiño es vicepresidente de Ventas para Latinoamérica en Lumus. Es ingeniero electrónico por la Universidad El Bosque, en Bogotá, y cuenta con estudios en Prospectiva y Dirección Estratégica por la Universidad Externado de Colombia. Además, es coach ontológico del Instituto Newfield Network y tiene un certificado en Excelencia en la Ejecución por el Institute for Generative Leadership de Estados Unidos. Anteriormente, fue director de Ventas para Latinoamérica en Appgate y trabajó en Easy Solutions y Cyxtera.