¿Has experimentado esa sensación de jugar al azar? Cuando no sabes qué premio -o castigo- te esperará y es una mezcla de emoción e incertidumbre. Bueno, pues mas o menos así es como el especialista Brian Gayek, describe la situación de la ciberseguridad empresarial en la actualidad – solo que, en este contexto, hay que restarle la parte emocionante-.
De acuerdo con sus palabras, es como si las empresas jugaran todos los días a la ‘ruleta rusa’ apostando a que no van a ser atacadas. Esto porque, pese al aumento de ciberataques y los avanzados métodos que hoy en día se utilizan para hackeos, parece ser que aún no se termina de concientizar sobre la importancia de la ciberseguridad en las empresas.
Pero bueno, para eso estamos aquí, ¿no? Para entender un poco más del asunto. Así que comencemos.
¿Qué es la ciberseguridad y por qué es importante en las empresas?
La ciberseguridad se define como el conjunto de prácticas y estrategias implementadas para proteger el ecosistema digital de una organización. Con ecosistema digital, hoy podemos entender que no solo se refiere al conjunto de equipos tecnológicos que están dentro de la organización. Esto va más allá.
La ciberseguridad empresarial involucra todo sistema digital, fuera o dentro de la organización, como computadoras, notebooks, smartphones o tablets que contengan información o donde se lleven procesos y gestiones de dicha empresa.
Para alcanzar una buena estrategia de ciberseguridad, se puede lograr con apoyo de herramientas y buenas prácticas diarias de todos los colaboradores de la organización. Por eso, se dice que la ciberseguridad es responsabilidad de todos los colaboradores que integran la organización y no solo del departamento de T.I. como muchos hasta ahora lo habrían pensado.
Ahora bien, ¿por qué la ciberseguridad ha cobrado tanta relevancia en los últimos años?
Luego de una pandemia en la que muchos nos dimos cuenta de que era posible trabajar desde casa y cumplir con nuestras responsabilidades, empresarios, accionistas y demás, concluyeron que tal vez ya no sería tan necesario retornar a las oficinas. Ya sea de manera ‘híbrida’ o por completo, muchos profesionales realizan tareas laborales desde casa o a distancia y aunque esto trae importantes beneficios, también levantó nuevas amenazas y riesgos cibernéticos.
A esto, debemos sumarle que la tecnología ha tenido importantes avances en los últimos tres años, aunque eso ha mejorado las automatizaciones y el uso de herramientas digitales desde la vida laboral, también ha brindado nuevas herramientas y avances a ciberdelincuentes.
Riesgos y amenazas cibernéticas que afectan a las empresas y Juntas Directivas en Colombia
De acuerdo con el último informe de seguridad de IBM, “Anual X- Force Threat Intelligence Index”, Colombia se convirtió en el segundo país de Latinoamérica con más ciberataques en el 2022.
En el 2021, Colombia se colocaba como tercer lugar en la lista debajo de México y Brasil, pues bien, el que haya escalado un puesto en este listado no es una buena señal y es justa razón para despertar temores en las organizaciones.
A finales del 2022, el Centro Cibernético de la Policía Nacional confirmó un aumento de denuncias de ciberataques en Colombia, en relación con el año anterior. Las cifras pasaron de 11 mil 223 a 54 mil 121 denuncias realizadas.
Está por demás enlistar las organizaciones nacionales e internacionales que han sido víctimas de estos ciberdelitos, sin embargo, lo que sí cabe destacar es que la consecuencia de esto se resume a pérdidas millonarias y consecuencias reputacionales, pues estos ciberataques, pueden poner en riesgo hasta información personal de clientes o consumidores.
¿Riesgos de la digitalización?
Como lo mencionamos anteriormente, el aumento de ciberataques en parte se debe a los avances tecnológicos y a la migración a la digitalización por parte de las organizaciones. Sin embargo, detener la transformación digital en las empresas no es una opción si lo que queremos es ir un paso delante de tendencias y la competencia.
Lo importante a este punto es que sí debemos estar conscientes de los riesgos de la digitalización para integrarlos desde nuestros análisis, prevenciones y mitigaciones de riesgos empresariales.
El primer paso, es identificar cuáles son esas amenazas y tipos de riesgos. Sobre todo, los más comunes o utilizados en las empresas colombianas y latinoamericanas.
El ransomware, también conocido como secuestro de datos o de información. Es uno de los ataques más utilizados para las organizaciones. Lo alarmante es que, de acuerdo con el informe seguridad de IBM, -citado anteriormente- hasta hace poco, un ataque de ransomware precisaba de al menos 2 meses para ejecutarse, ahora ese tiempo se simplificado a cuestión de días.
El Phishing por otra parte, continúa siendo el más fácil y rápido. Esto porque solo consiste en crear una cuenta falsa bajo el nombre de una organización para llevar al usuario a realizar una acción, ya sea haciendo clic algún botón o ya sea llenando un formulario donde proporcione algún dato.
Este tipo de ciberataque se puede realizar por email, SMS, llamada y hasta por redes sociales.
Imagínate que recibes un email de tu banca en donde te indica que están intentando hacer uso de una de tus cuentas y el cuerpo del email te indica que lo único que necesitas hacer es cambiar uno de tus códigos desde el email. Es un día con bastante trabajo, entonces decides solucionar esto ahora. Haces clic creyendo que se trata de un email legítimo, pero sin darte cuenta, al hacer clic, permitiste que entrara un virus a tu equipo. Este virus podría extraer información de tu computador sin que lo percibas. Así de fácil y rápido puede suceder un ciberataque.
Por último, entre las amenazas más comunes y ciberataques más utilizados en Colombia encontramos los ataques basados en identidad. Con solo la dirección de email del director general de tu organización, podrían hacer un uso incorrecto de su nombre y de la imagen de la empresa. Este es otro de los ataques que está despertando temor y preocupación entre los directivos.
¿Cuáles son las estrategias para fortalecer la ciberseguridad empresarial?
Integrar una estrategia de ciberseguridad, debe ser bien planificada y elaborada. Estas estrategias no deben ser integradas solo por prevención o control, deben ser entendidas como parte esencial del valor de tu organización.
Ahora bien, los ejemplos citados anteriormente, más que alarmarte, son con la intención de explicar cómo un ciberataque puede pasar tanto en el día a día de un Director como en el día a día de cualquier otro integrante de la organización.
Por eso creemos que más allá de lo que esté en manos de las áreas de TI, existen prácticas que puedes integrar para el resto de tu organización que fortalecerá más la ciberseguridad empresarial de tu identidad. Estas prácticas las dividiremos en tres principales acciones:
Mayor Atención a los e-mails de phishing
¿Todos tus colaboradores saben en qué consiste el phishing? Por ser uno de los métodos más utilizados, rápidos y fáciles de aplicar, es necesario llevarlo a tema de conversación dentro de la organización.
Todo colaborador debe saber cómo hacer uso correcto y adecuado de los canales internos de comunicación de la empresa, esto involucra el email institucional y hasta celular empresarial. Deben conocer los riesgos y aprender a distinguir aquellas señales que delatan este tipo de ciberataques.
Algunas organizaciones optan por realizar capacitaciones y charlas sobre el tema. Sin embargo, otro recurso imprescindible son las…
Políticas de ciberseguridad en las empresas
Estas políticas se integran de prácticas adecuadas, reglas y datos relevantes para nutrir y fortalecer la ciberseguridad en la organización. Estas políticas de Ciberseguridad se pueden dividir o clasificar en:
- Política de Contraseñas.
- Política de almacenamiento y copias de seguridad
- Política de e-mail corporativo
- Política de actualizaciones
Puedes entender en qué consiste cada una de ellas consultando nuestro artículo “La importancia de la Ciberseguridad”
Integrar estrategias de ciberseguridad desde la Junta Directiva
Ahora bien, hemos llegado a la parte clave de nuestro artículo. Claro que es importante la ciberseguridad en toda la empresa, pero, aquí hay algo que no se nos puede -ni debe- escapar. ¿Desde dónde se toman las decisiones de toda la organización? ¿desde dónde se analizan y previenen los riesgos empresariales? Claro, desde la Junta Directiva.
Cuando damos cuenta de eso, entonces entendemos que la ciberseguridad debe ser integrada desde la Junta Directiva y los comités, porque además de tratarse del órgano tomador de decisiones, se trata del órgano donde se maneja la información más sensible y confidencial de toda la organización.
Por lo tanto, las estrategias de ciberseguridad empresarial deben empezar por y desde la Junta Directiva. Sin embargo, esto no se acaba aquí. Las Juntas Directivas se enfrentan a un campo desconocido y poco explorado para ellas: la digitalización.
Aún existen preguntas y poca comunicación entre directores y los profesionales de T.I. ¿Qué paso nos está faltando para integrar la ciberseguridad como parte estratégica de la Junta Directiva? Pues bien, existen estrategias que podrían construir puentes y mejorar no solo la comunicación, si no también, la colaboración y el alcance de metas en misma medida tanto para las áreas de tecnología como para las Juntas Directivas.
Estrategias y Medidas preventivas para garantizar la ciberseguridad en las Juntas Directivas
Sin duda, el primer paso que llevará a trazar una estrategia de Ciberseguridad desde la Junta Directiva es la concientización. Los directores, sin importar su especialización, campo o edad, necesitan entender con claridad y practicidad el por qué la ciberseguridad es imprescindible en esta era de digitalización y lo fácil que se pueden convertir en víctimas de un ciberataque en cuestión de segundos.
Para esto, es necesario integrar la ciberseguridad en el interior de la Junta Directiva, esto puede ser a través de un miembro director especialista en el tema, tal como un CISO, o bien, integrando esta figura en el comité de riesgos o compliance.
Ahora, aquí debemos recalcar que, aunque muchas organizaciones ya están llevando esto a la práctica, caen en el error de no aprovechar de toda la presencia de un especialista en ciberseguridad en la Junta Directiva. Pues bien, al no entender por completo de qué trata la ciberseguridad, puede provocar que este especialista termine realizando solo labores administrativas en vez de estratégicas u operativas.
Entonces, si se toma la decisión de integrar una figura especializada en ciberseguridad o tecnología, deben asegurarse de definir con claridad sus metas, objetivos, alcance y estrategias esperadas de esta figura.
Una vez definida esta decisión, entonces podrás llevar a la acción otras prácticas que protegerán la Junta Directiva de posibles ciberataques.
Creación de Canales seguros para compartir información confidencial
Como ya lo sabemos, la Junta Directiva es el órgano donde probablemente se maneja más información sensible. Por lo tanto, es necesario crear un protocolo y un canal seguro para envío de información entre los miembros directores y otros profesionales involucrados en la gestión de gobernanza.
Por ejemplo, el e-mail, mensajería instantánea o redes sociales, no son canales seguros para enviar información o documentos de la Junta Directiva.
Para esto, podrán crear un canal especifico o bien, hacer uso de un software especializado en seguridad de la información.
Considera usar un portal de gobierno corporativo
En el mercado podemos encontrar tecnología para todo tipo de necesidades. Y un claro ejemplo son los portales de Gobierno Corporativo. Estos, son softwares especializados para las Juntas Directivas, es decir, que cuentan con las funcionalidades y herramientas necesarias para el día a día de un director, pero, además, cumpliendo con los requerimientos de seguridad de la información y ciberseguridad.
Existen muchas opciones en el mercado. Lo más importante es encontrar las opciones que mejor convengan a la realidad de tu organización, pues estos softwares no solo benefician en la ciberseguridad de la Junta Directiva, son capaces de optimizar y ahorrar tiempo de todos los profesionales involucrados en la gobernanza y de digitalizar todos los procesos que involucran a la Junta Directiva y comités.
Si me preguntas cuál es la mejor opción, por supuesto te diré que Atlas Governance, pero no quiero que te dejes llevar por lo que te cuento, mejor echa un vistazo aquí y entiéndelo tu mismo. Porque al final, nos importa que el gobierno corporativo sea más simple y accesible para todas las organizaciones. Sabemos que ese es el camino que cambiará el futuro del mundo empresarial.