El gran defecto de la ciberseguridad es la falta de gobernanza

El delito cibernético, como la delincuencia común, es algo que seguirá existiendo y con el que los ciudadanos, las empresas y los gobiernos deben saber cómo vivir. Básicamente es el mismo paradigma que en el mundo analógico. Continuará habiendo policías y ladrones y la mejor solución siempre será tener en cuenta las medidas de seguridad necesarias, dimensionadas y apropiadas para cada situación.

Es decir, y refiriéndose al típico caso europeo y portugués, no vale la pena tener centinelas armados en la puerta de la casa, o de la empresa, para proteger los electrodomésticos o la maquinaria. Pero un sistema de videovigilancia, posiblemente conectado a un centro de seguridad, ya puede estar justificado. Esto se debe a que el interés potencial de un delincuente es menor en estos casos que un robo, por ejemplo, a una joyería o una estación de servicio donde hay más dinero. En el mundo virtual es exactamente lo mismo. Es necesario adaptar las medidas de seguridad y aplicar las inversiones adecuadas a cada situación.

Idealmente, cada empresa debería delegar la responsabilidad de seguridad digital a una OSC

Sin embargo, para que una empresa combata el delito cibernético, se necesita más que solo instalar un antivirus. Las administraciones deben ser conscientes de los riesgos y asumir este tema en sus funciones. El papel de un Director de Seguridad (CSO) es crucial en una empresa que necesita mantenerse segura en el mundo virtual y con un nivel apropiado de higiene cibernética. Básicamente, la atención básica de higiene digital que permite a una empresa ser menos vulnerable a posibles ataques.

El papel de la OSC va mucho más allá de lo que es una práctica común en las pequeñas y medianas empresas en Portugal, que generalmente delegan toda la responsabilidad de la ciberseguridad a un pequeño departamento de TI.

"Ante un ataque que puede ser generalizado, las compañías más grandes tienen una capacidad de recuperación asegurada porque es un concepto arriesgado que asumen los Comités Ejecutivos", dijo José Alegria, Director de Seguridad de Altice Portugal. En las PYME, dice, "no existe ese concepto y, por lo tanto, el principal problema de seguridad es un problema de gobernanza".

En una función de este tamaño, a menudo es necesario tomar decisiones que requieren madurez profesional y latitud con cierta latitud. Medidas que deberían estar vinculadas a un informe directo a un elemento de administración. Un junior apenas podrá manejar la mayoría de las situaciones que surjan.

Idealmente, cada empresa debería delegar la responsabilidad de la seguridad digital a una OSC. Pero la realidad aún está lejos de serlo. Si bien la seguridad cibernética es un elemento clave de los negocios en grandes empresas con una estructura más sólida, con las administraciones conscientes de su necesidad, las pequeñas y medianas empresas hacen lo contrario, en gran parte debido a la falta de conocimiento de los gerentes. y administradores.

En estos casos, la ciberseguridad se entrega al departamento de TI. Y si en algunos casos puede ser suficiente (siempre que no haya problemas), en todos los casos es escaso cuando se trata de datos y seguridad empresarial.

José Alegria, quien también es asesor de la unidad de delitos cibernéticos de Europol, subraya que "es una falta de conocimiento de la alta gobernanza". Por lo tanto, asegura, "Debería haber una gran presión sobre el tejido empresarial portugués para explicar cómo los diversos actores, incluido Altice Portugal, podrían ayudar a las pequeñas y medianas empresas a aumentar el nivel de conciencia de seguridad".

La falta de personas calificadas con la experiencia y la madurez para desempeñar estos roles también es señalada por José Alegria como uno de los problemas actuales. Sin embargo, enfatiza: "No es necesario ser un trabajo de tiempo completo" y explica que en los Estados Unidos, por ejemplo, ya hay OSC que hacen esto en más de una empresa a la vez.

Niveles de seguridad

En todas las áreas que se ocupan de la seguridad, existen niveles que permiten una mayor o menor restricción de movimientos y acciones. En ciberseguridad es lo mismo. No tiene sentido establecer una infraestructura de un millón de euros para proteger solo media docena, incluso datos relativamente públicos. "Un producto farmacéutico que está desarrollando una molécula para la cura de la enfermedad de Alzheimer está mucho más expuesto al delito cibernético", dijo José Alegria. Y en un tono más claro, incluso dice que "no vale la pena gastar 10 millones de euros para proteger el plan de precios de MEO". Una analogía sirve para demostrar que incluso en una gran empresa, y con un fuerte apetito por los ciberdelincuentes, se deben establecer niveles de resistencia y seguridad, pero adecuados al valor de lo que desea proteger.

Es decir, es necesario conocer las necesidades de cada empresa, la información que se pretende proteger y aplicar las inversiones apropiadas en este frente. Dado que, como señala José Alegría, también se debe conocer el apetito que cierta información tiene para los cibercriminales. "Para tratar de robar la cura para el Alzheimer, una organización cibercriminal invertirá decenas de millones de euros" porque es información con un potencial económico muy valioso.

Sé el primero en comentar

Dejar una contestacion

Tu dirección de correo electrónico no será publicada.


*