EY: Empresas deben de crear estrategias de ciberseguridad

La firma recomienda a las organizaciones trabajar en este tema enfocándose no solo en los sistemas de seguridad, sino en las personas.
Enlace copiado
EY: Empresas deben de crear estrategias de ciberseguridad

EY: Empresas deben de crear estrategias de ciberseguridad

Enlace copiado

El entorno digital ha permitido optimizar los procesos en el interior de las empresas, pero al mismo tiempo ha traído consigo ciertos riesgos que muchas veces están siendo dejados de lado por las organizaciones.

“El tema de ciberseguridad es importantísimo, y no se le ha dado la relevancia que tiene”, afirma Carlos Trujillo, gerente de ciberseguridad para EY Centroamérica, Panamá y República Dominicana.

La ciberseguridad, sostiene, es un tema estratégico para las empresas. “Así como usted piensa en cambiar sus sistemas, entrar al mundo digital, piense estratégicamente cómo se va a resguardar para los nuevos riesgos que le van a entrar a su empresa por ese cambio”, aconseja Trujillo.

Recordó que en antaño si se instalaba una máquina nueva en una empresa se aprendía sobre su uso y se preguntaba qué pasaba si la máquina se dañaba; ahora se instalan nuevos sistemas y no se pregunta qué pasa si alguien ingresa a este o si un empleado hace algo indebido o cómo controlar quién tendrá acceso a información confidencial.

Respecto a la infraestructura, hoy en día hay software que permite saber si alguien quiso entrar a la red de alguna empresa, otra que impide que un desconocido ingrese; hay empresas que separan las redes para las visitas y las redes para los empleados, pero en lo que la mayoría de empresas está fallando es en el adiestramiento y crear conocimiento de su personal sobre seguridad. Trujillo subraya que todas las áreas de una compañía son responsables de la información, no solo el área de tecnología.

Un primer paso en la organización es identificar qué información es crítica. Por ejemplo, un hospital maneja el historial médico de sus pacientes. El siguiente paso es crear una estrategia para invertir lo necesario para cubrir la información que es crítica.

“Lo que le estamos diciendo a las empresas es ‘comience a pensar en estos temas de ciberseguridad desde un nivel estratégico, que le permita tomar decisiones eficientes’, así va a entender que sí hay presupuesto y que tiene que invertir en estas cosas”.

En tercer lugar, la empresa debe ser resiliente, es decir, ser capaz de hacer frente a una situación adversa, comenzando por hacer una lista de posibles riesgos. En esta línea, las organizaciones deben de nombrar a las personas que hablarán en caso de ser necesario, y no solo en casos negativos.

Trujillo afirma que las fronteras de la ciberseguridad son difíciles de definir, porque dentro de esta –que está enfocada a resguardar los sistemas informáticos y la información digitalizada– también entra el tema de seguridad física.

Para Trujillo, hay que distinguir entre la parte dura de software y la parte humana. Esta última, normalmente, representa el eslabón más débil de la cadena, según advierte. “¿Por qué? Porque yo puedo resguardar de la mejor manera mis sistemas, hacer una inversión millonaria en los sistemas de punta, utilizar las mejores prácticas, pero si alguien le da clic a un mail que dice ‘mira la última foto de Thor en paños menores’ y le dan clic hasta ahí llegó la empresa”, comenta.

La ciberseguridad intenta resguardar todas las vulnerabilidades de la empresa que se refieren a toda la información desde el hardware, el software, los procesos y la gente.

Lo primero que debe de hacer una organización para protegerse es hacer una evaluación, probar sus sistemas a nivel interno y externo, ver cómo están funcionando sus redes y la protección; pero también ver si tiene políticas, si tiene una estrategia de seguridad y si su personal la está cumpliendo.

Después de esta valoración se deberá definir una hoja de ruta para implementar su estrategia de seguridad tecnológica. “Siempre viéndolo desde el foco estratégico no solo desde tecnología”, agrega el gerente de ciberseguridad.

Si se quiere ahondar se pueden incluso hacer pruebas de ingeniería social, es decir, personas investigar vulnerabilidades por medio de llamadas telefónicas u otros recursos. Trujillo advierte que esta es una de las maneras en que los “hackers” obtienen más información. La evaluación debe tener muy en cuenta si los procesos se cumplen, reitera el experto.

Una de las fallas más grandes que ha detectado la firma consultora EY es que muchas empresas crean los planes de seguridad, de resiliencia, pero no los implementan. Por esta razón recomienda nombrar un oficial de seguridad de la información a quien pedirle resultados, pero también brindar apoyo. “El cambio debe de venir desde lo más alto hacia abajo, como estratégico que es, los primeros que se tienen que comprometer es la alta directiva”, concluye.

Lee también

Comentarios

Newsletter