Un hecho insólito que marcó la historia en todo el mundo fue el hundimiento del Titanic, el famoso transatlántico británico considerado como el barco de pasajeros más grande en este entonces. Y es que a pesar de que contaba con todas las normas y estándares para navegar, e inclusive, tenía más botes salvavidas de los que exigía la Junta de Comercio Británica en esa época, estos no fueron suficientes para evitar la muerte de más de mil trescientas personas.
Pero ¿cuál fue el verdadero problema de toda esta tragedia?, la administración estaba centrada en el cumplimiento de las normas y no consideró los riesgos del mundo real.
En ciberseguridad ocurre algo similar. Las organizaciones invierten grandes cantidades de dinero, tiempo y recursos para estar al día con los requerimientos de cumplimiento, sin embargo, al momento en que se cubren con éxito los criterios y se superan las pruebas suelen tener una falsa sensación de seguridad, creyendo que están preparados para la batalla contra las amenazas cibernéticas del mundo real. Por desgracia, eso no termina siendo así.
El cumplimiento es solo la punta del iceberg de la ciberseguridad lo cual demuestra que esto no es suficiente para reducir los riesgos cibernéticos. Desde BDO en Colombia, te explicamos las razones:
- Las amenazas cibernéticas evolucionan de forma constante
Un enfoque basado únicamente en el cumplimiento normativo proporciona un plan para los atacantes ya que pueden estudiar eficazmente las directrices y encontrar fallas que puedan ser explotadas de la misma regulación.
La mayoría de las normas de cumplimiento son reacciones a las amenazas de los ciberdelincuentes. En muchos casos, se establecen cuando los atacantes ven vacíos de fácil acceso en un producto o servicio y las organizaciones intentan mitigar la amenaza resultante actualizando las directrices existentes o elaborando nuevas políticas.
- Lo controles de cumplimiento no están categorizados por relevancia de riesgos
Los documentos de cumplimiento ven el riesgo como burbujas en una copa de champaña. No informan a los equipos de seguridad que dos o tres de esas burbujas son mucho más grandes que todas las demás juntas. Por ejemplo, el phishing y las debilidades en el programa de gestión de parches de seguridad son una de las principales causas de todos los ciberataques, pero la mayoría de los documentos de cumplimiento no destacan ni priorizan estos riesgos.
En BDO creemos que la ciberseguridad debe llevar un enfoque de cumplimento, pero también de gestión de riesgos. Las organizaciones que adoptan un enfoque de la seguridad basado en riesgos la contemplan con el objetivo de proteger sus activos más valiosos: la seguridad de sus clientes y la seguridad de su información. Buscan de forma proactiva los puntos débiles de su arquitectura informática mediante evaluaciones de riesgos y tratan de mejorar continuamente su posición.
Esto representa ventajas como:
Adelantarse a las amenazas: cuando las organizaciones prestan atención al riesgo descubren rápidamente las amenazas nuevas y en desarrollo mucho antes de que se reflejen en la legislación. Esto les permite protegerse de los atacantes con más fuerza y les da una ventaja de oportunidad.
Priorizar los esfuerzos de seguridad: al revelar las áreas de alta vulnerabilidad una estrategia basada en riesgos ayuda a las organizaciones a mejorar continuamente su posición de ciberseguridad con el tiempo.
Optimización de costos: una mentalidad basada en riesgos permite a las organizaciones asignar recursos de forma más eficiente, invirtiendo la mayor cantidad de dinero en las áreas que más lo necesitan.
Estrategia de ciberseguridad integrada: al integrar los objetivos de ciberseguridad en su estrategia general de gestión de riesgos empresariales las organizaciones conectan los problemas de ciberseguridad con los objetivos empresariales, reuniendo a todos los departamentos y al personal para proteger sus activos.
En última instancia, el generar un cambio de mentalidad centrándose en el riesgo reduce las rutinas de "marcar las casillas", las cuáles lo único que hacen es ocultar el verdadero propósito de la ciberseguridad a las personas de una organización. Brindando un apoyo significativo a los ejecutivos y a los responsables de la toma de decisiones, invitándolos a reflexionar sobre la ciberseguridad en cada estrategia que desarrollen, permitiendo así que todos contribuyan de forma significativa a la reducción del riesgo.