En el último tiempo, se ha detectado un patrón común en la forma en la cual las organizaciones reaccionan ante las noticias relacionadas a ciberataques o violaciones de sistemas de seguridad. Generalmente, las organizaciones tienden a invertir en tecnología para mejorar su seguridad de forma rápida, pero sólo luego de haber identificado una irrupción o una falla. Una vez adquirida esta nueva tecnología o solución, comienza la búsqueda agónica para sumar personal calificado a sus equipos de seguridad dentro de la compañía.
Gran parte de las inversiones que realizan las empresas en materia de ciberseguridad parecen guiarse por reacciones o respuestas de acto reflejo frente a un marketing agresivo, en lugar de encarar el problema mediante un abordaje a conciencia. Cuando esto ocurre, las organizaciones pueden terminar con más tecnología de la que pueden manejar, dados sus recursos existentes. Entonces, intentan hacer frente a la mayor carga de IT, incrementando sus presupuestos y contratando más personal para que ejecute las soluciones. Aun así, y a pesar de las mayores inversiones en tiempo y en dinero, las violaciones a los datos continúan sucediendo. Y dichas irrupciones se tornan cada vez mayores, sofisticadas y lamentablemente, más perjudiciales. Y esto se debe a la ley de los rendimientos decrecientes: cuanto más dinero, tecnología y recursos humanos destine al problema, estará exponiendo a su organización a mayores riesgos y vulnerabilidades.
Entonces, ¿cuál es la respuesta a este abordaje ineficiente para mitigar riesgos? La solución requiere de un enfoque de la ciberseguridad a través de la implementación de un marco de gobernanza, que consta de ciertos elementos:
– Por un lado, la ejecución de una estrategia de gobernanza de datos para una apropiada asignación de recursos. Esto ayudará a determinar cuánto gastar en controles internos y externos, y también ayudará a los equipos avocados a la seguridad informática, en la gestión de datos. Las organizaciones deben determinar qué información se destruirá en el corto plazo y cuál se archivará, ya que las empresas tienden a conservar los datos mucho más tiempo del necesario. De esta manera, crean un potencial “tesoro escondido” en internet para los hackers, en caso de que irrumpan en su red.
– Por otra parte, la gobernanza puede además determinar qué controles de seguridad deberían ser manejados por terceros, aprovechando el conocimiento y la especialización de éstas para gerenciar y monitorear infraestructura y eventos de seguridad de su empresa. Especialmente, esta posibilidad de tercerización de la gestión de seguridad a manos de expertos, se debe contemplar cuando la compañía no cuenta con los recursos internos apropiados para hacerlo.
En resumen, la seguridad a menudo es demasiado complicada y costosa para su mantenimiento y entendimiento interno. Contratar profesionales capacitados de manera individual resulta cada vez más y más difícil; para 2022 se espera un faltante de 1.800.000 profesionales de la ciberseguridad. Tercerizar la seguridad y proveer un marco de gobernanza adecuado, resuelve problemas típicos en la estrategia contra ataques y amenazas, aprovechando la especialización de expertos para combatirlos.
