Las inversiones en ciberseguridad no son caras, un ciberataque sí

Según la cuarta edición del informe trimestral sobre amenazas, “Cyber Signals”, de Microsoft, entre 2022 y 2023 los ciberdelitos aumentaron un 38% en el entorno empresarial. Un escenario que preocupa, pero que al menos es atendido. Si hace dos años, la mayoría de las empresas realizaba sus diagnósticos de ciberseguridad de forma anual; hace un par de meses aquello pasó a ser semestral y hoy esa revisión es prácticamente cada dos meses.

Las compañías están cada vez más conscientes de lo que implica no tener una estrategia de ciberseguridad, y por tanto, buscan trabajar con los mejores aliados tecnológicos; en este caso, Managed Service Provider (MSP) o proveedor de servicios gestionados, expertos que remotamente atienden la infraestructura de tecnología de la información (TI).

Todas las empresas, las organizaciones sin fines de lucro y las agencias gubernamentales contratan a los MSP con el fin de obtener sus servicios diarios: administración, seguridad y monitoreo de redes e infraestructura. Las buenas decisiones tecnológicas pueden determinar el crecimiento de un proyecto o negocio de cualquier tipo.

Ahora, ¿qué debemos considerar para lograr un alto nivel de ciberseguridad en mi empresa?

Primero, desestimar que las inversiones en ciberseguridad son caras. El daño y el perjuicio económico que tienen las empresas cuando sufren ataques es mucho mayor a un eventual costo en seguridad. Hablamos desde miles de dólares a millones de dólares. La inversión no afectará a todo el presupuesto de una empresa, más bien ayudará a implementar una estrategia con planes tácticos puntuales. De acuerdo al Centro de Respuesta para Emergencias Informáticas de Israel (CERT), los ciberataques cuestan US$ 6.000 millones diarios a la economía mundial.

Segundo, asumir que la ciberseguridad no es solo un equipo. Más bien, un concepto de trabajo que involucra procesos, personas, capacitación, normativas, entre otros, Lo importante es el monitoreo y el análisis de forma continua y profesional, considerando siempre que el eje es la protección de la información.

Tercero, entender la importancia de prevenir la obsolescencia tecnológica para mitigar incidencias. La mayoría de los ataques informáticos ocurre debido a problemas que, con la estrategia adecuada, podrían haberse resuelto desde su origen. Esto implica una configuración precisa y un sólido plan de mantenimiento para su prevención. Nos referimos a sistemas operativos obsoletos expuestos a Internet, un fenómeno lamentablemente aún común en varios países.

Por último, concientizar también al entorno. No basta que solo la alta dirección de una empresa o institución tome conciencia respecto a la ciberseguridad; el mensaje y el comportamiento, igualmente, deben ser enseñado al resto de las personas: equipos de trabajos internos, proveedores, stakeholders, entre otros.