Después de haber trabajado en el extremo afilado de la industria de la seguridad cibernética durante más de 20 años, la sabiduría convencional sugiere que deberíamos haber aprendido lecciones y recorrer un largo camino en la protección de nuestros negocios, activos e infraestructura nacional crítica (CNI). La verdad es que si bien hemos avanzado mucho, los ciberdelincuentes todavía están un paso por delante y demasiadas empresas se lo ponen fácil al no hacer lo básico. Esto incluye parches, autenticación multifactor, segmentación, fortalecimiento de la red y más.
Entonces, si bien 2021 ha sido único y desafiante en muchos sentidos, también ha sido deprimentemente familiar. Nuestras pruebas de penetración y ejercicios de equipos rojos descubren los mismos problemas y vulnerabilidades una y otra vez. Muchas organizaciones a las que se les vende una promesa e invierten cientos de miles de libras en nueva tecnología de seguridad cibernética a menudo se quedan con una falsa sensación de seguridad. En realidad, muy pocas empresas disfrutan de los niveles de protección que creen tener.
La seguridad cibernética siempre ha sido y sigue siendo un problema empresarial ante todo, más que tecnológico. Se trata de tener el dial de seguridad en el lugar correcto en el contexto de las necesidades de la empresa y el apetito por el riesgo. Para hacer esto, los líderes empresariales primero deben comprender los riesgos y el valor de sus activos de datos para los atacantes a fin de tomar decisiones informadas y justificar la inversión en los lugares correctos.
Pero para muchas empresas, la lección más difícil de todas, cuando son atacadas, es despertarse, responder y actuar. Y puede ser drástico. Las empresas afectadas por ataques de ransomware, independientemente de su tamaño, se enfrentan a una crisis que puede ser extremadamente costosa, lenta y agotadora mentalmente.
Es mucho mejor aprender de los demás y ser proactivo en lugar de reactivo. Y hay señales positivas con un alejamiento del enfoque tradicional de casilla de verificación para la seguridad hacia una seguridad más basada en resultados. Aquí es donde los reguladores y las autoridades definen los resultados deseados en lugar de simplemente prescribir medidas para llegar allí.
Es la diferencia entre que te digan que necesitas una cerca de 6 pies y que debes hacer lo que sea necesario para mantener a la gente fuera. Este cambio está siendo impulsado por esquemas reguladores como CBEST en servicios bancarios y financieros e iniciativas similares en otras industrias, como telecomunicaciones, aviación y energía.
¿Qué otras lecciones hemos aprendido en los últimos 12 meses? Una lección para toda la vida es que sabemos que si cedes ante los acosadores, ellos seguirán regresando. Lo mismo ocurre con los delincuentes de ransomware. La única forma en que se detendrán es dejar de pagarles y trabajar más duro para cerrarlos. Esto necesitará el apoyo total de la industria, los gobiernos y las fuerzas del orden en todo el mundo, pero hasta que sucedan estas cosas, enfrentaremos más ataques.
La última lección aprendida es de historia y política. Habiendo vivido y superado los altibajos de la postura y las maniobras globales de los estados nacionales, combinados con las fuerzas económicas, financieras y naturales en juego, está claro que nos enfrentamos a un período de inestabilidad global. Y la historia nos dice que esto se manifestará inevitablemente en un aumento de los ciberataques delictivos y patrocinados por el estado.
Se podría decir que en los últimos 12 meses todo ha cambiado pero nada ha cambiado. Pero nuestra industria continúa a la altura del desafío, a pesar de la continua escasez de habilidades y un panorama de amenazas en constante cambio. El informe de fin de año podría decir: “Se desempeñó bien, pero aún queda mucho trabajo por hacer”.