Ninguna organización debe pensar que está a salvo de la ciberdelincuencia y la posibilidad de ser victima de un ciberataque

Cuando el MI5 o la Oficina Federal de Investigaciones (el FBI) informan a una compañía de que han sufrido un ciberataque, no me sorprende que la primera reacción del jefe sea guardarse las espaldas Los consejeros delegados asumen que no hay que preocuparse por el robo de propiedad intelectual, porque en todo caso no tendrá ninguna repercusión hasta que su sucesor esté en el cargo. Por este motivo, las autoridades siempre suelen incluir en sus expedientes algunos de los mensajes de la cuenta hackeada del CEO.

Las tácticas de los háckeres parten de dos factores que son cruciales para evitar los ciberataques. En primer lugar, los principales puntos débiles de las organizaciones no son tecnológicos (cortafuegos o software inestables) sino humanos. En segundo lugar, al mejorar la ciberseguridad salen a la luz los defectos de los CEO que sólo miran al corto plazo.

Desde que se comenzaron a realizar los primeros fraudes a través de correos electrónicos, los humanos han tenido gran parte de la responsabilidad de los ciberataques. En la “estafa de las cartas de Nigeria” (la viuda de un general promete dinero a cambio de que alguien la ayude a transferir su fortuna), lo más probable es que las personas que se creen la primera carta caerán víctimas del fraude.

Los principales puntos débiles de las organizaciones no son tecnológicos, sino humanos
Últimamente, los delincuentes han comenzado a realizar ataques para extorsionar a una empresa o desestabilizar el precio de sus acciones. De nuevo, el punto débil son los humanos. En ocasiones, es muy complicado reconocer si se trata de un ciberataque o no. Según la consultora Mandiant, las compañías tardan al menos 99 días en descubrir una intrusión.

Tras leer este artículo, seguramente resonará en las cabezas de los consejeros delegados la paranoia de sufrir un ciberataque. Sin embargo, desde siempre, todas las grandes compañías han estado amenazadas. El año pasado, Volkswagen informó de que cada semana tenían que enfrentarse a 6.000 ataques. Al final, puede que las amenazas se conviertan en oportunidades.

En 2002, Amitava Dutta y Kevin McCrohan de la Universidad de George Mason escribieron en una artículo que “la seguridad de la información no es un asunto técnico sino administrativo”. El liderazgo, la cultura y la estructura tienen un impacto significativo en lo que ocurre en un ciberataque, por lo que es crucial replantearse las prioridades de cada compañía. Puede que el robo de los datos de las investigaciones no sea tan importante como que hackeen los correos privados, pero, a largo plazo, es probable que perjudique a la estabilidad de la compañía.

Lo recomendable es realizar una limpieza a fondo en la estructura de la empresa y conocer qué información se posee y dónde se encuentra.

También es importante mejorar los canales de comunicación. Durante dos años, Yahoo! tuvo un fallo de seguridad que no percibieron porque estaban centrados en vender su negocio.

PERSONAL COMPROMETIDO

Además, es crucial contar con un personal comprometido. La falta de interés por la seguridad puede provocar múltiples imprudencias e incluso que los ciberataques se produzcan desde la propia empresa. Asimismo, es aconsejable revisar la red, puesto que los proveedores de red realizan escasos controles.

Las compañías tardan, de media, unos 99 días en descubrir una intrusión

Dave Palmer, de la empresa tecnológica Darktrace, declara que la primera reacción de los consejeros delegados a un ciberataque es preguntarse “¿quién ha podido hacerme esto?”, para después buscar un “culpable”. Mientras que otros sucumben a lo que los abogados denominan “inercia decisiva” y toman una decisión equivocada.

Por ejemplo, el año pasado, cuando se hackeó el sistema de transporte público de San Francisco, los encargados del transporte podrían haber abierto sus puertas y ofrecer viajes gratuitos. Sin embargo, si se hubiese comprometido la seguridad y no el dinero, lo correcto hubiese sido cerrar la red.

Elizabeth Corley, vicepresidenta de Allianz Global Investors, afirma que en las juntas directivas se está viviendo una “revolución”. Se le está dando tanta importancia a la ciberseguridad como a la salud y la seguridad de los trabajadores, añade.

Su opinión me recuerda a cuando en los 80 Paul O’Neill, consejero delegado de Alcoa, decidió mejorar la seguridad de los trabajadores para que aumentase la producción de aluminio. Los inversores se quedaron perplejos. Esta medida provocó “una reacción en cadena que logró que aumentasen sus beneficios”, escribe Charles Duhigg en El poder de los hábitos.

Del mismo modo, los ciberataques pueden resultar de forma inadvertida útiles para las compañías, puesto que obligan a los consejeros delegados a mejorar sus puntos débiles

 

Fuente
http://www.expansion.com
Autor : Andrew Hill