El riesgo de los rendimientos decrecientes en la Ciberseguridad
En el último tiempo, se ha detectado un patrón común en la forma en la cual las organizaciones reaccionan ante las noticias relacionadas a ciberataques o violaciones de sistemas de seguridad. Generalmente, las organizaciones tienden a invertir en tecnología para mejorar su seguridad de forma rápida, pero sólo luego de haber identificado una irrupción o una falla. Una vez adquirida esta nueva tecnología o solución, comienza la búsqueda agónica para sumar personal calificado a sus equipos de seguridad dentro de la compañía.
Gran parte de las inversiones que realizan las empresas en materia de ciberseguridad parecen guiarse por reacciones o respuestas de acto reflejo frente a un marketing agresivo, en lugar de encarar el problema mediante un abordaje a conciencia. Cuando esto ocurre, las organizaciones pueden terminar con más tecnología de la que pueden manejar, dados sus recursos existentes. Entonces, intentan hacer frente a la mayor carga de IT, incrementando sus presupuestos y contratando más personal para que ejecute las soluciones. Aun así, y a pesar de las mayores inversiones en tiempo y en dinero, las violaciones a los datos continúan sucediendo. Y dichas irrupciones se tornan cada vez mayores, sofisticadas y lamentablemente, más perjudiciales. Y esto se debe a la ley de los rendimientos decrecientes: cuanto más dinero, tecnología y recursos humanos destine al problema, estará exponiendo a su organización a mayores riesgos y vulnerabilidades.
Entonces, ¿cuál es la respuesta a este abordaje ineficiente para mitigar riesgos? La solución requiere de un enfoque de la ciberseguridad a través de la implementación de un marco de gobernanza, que consta de ciertos elementos:
– Por un lado, la ejecución de una estrategia de gobernanza de datos para una apropiada asignación de recursos. Esto ayudará a determinar cuánto gastar en controles internos y externos, y también ayudará a los equipos avocados a la seguridad informática, en la gestión de datos. Las organizaciones deben determinar qué información se destruirá en el corto plazo y cuál se archivará, ya que las empresas tienden a conservar los datos mucho más tiempo del necesario. De esta manera, crean un potencial “tesoro escondido” en internet para los hackers, en caso de que irrumpan en su red.
– Por otra parte, la gobernanza puede además determinar qué controles de seguridad deberían ser manejados por terceros, aprovechando el conocimiento y la especialización de éstas para gerenciar y monitorear infraestructura y eventos de seguridad de su empresa. Especialmente, esta posibilidad de tercerización de la gestión de seguridad a manos de expertos, se debe contemplar cuando la compañía no cuenta con los recursos internos apropiados para hacerlo.
En resumen, la seguridad a menudo es demasiado complicada y costosa para su mantenimiento y entendimiento interno. Contratar profesionales capacitados de manera individual resulta cada vez más y más difícil; para 2022 se espera un faltante de 1.800.000 profesionales de la ciberseguridad. Tercerizar la seguridad y proveer un marco de gobernanza adecuado, resuelve problemas típicos en la estrategia contra ataques y amenazas, aprovechando la especialización de expertos para combatirlos.
