Actualmente es inconcecible el funcionamiento ordinario de cualquier empresa sin la informática. Esta dependencia implica que la vulnerabilidad a los ciberataques puede suponer un grave peligro para la continuidad de negocio. Pero esto no siempre se traduce en la implantación de una estrategia de ciberseguridad y en no pocos casos se afrontan las incidencias sobre la marcha. Los expertos dan la voz de alarma sobre las consecuencias de este comportamiento. «La principal es que estamos poniendo en riesgo la continuidad de las operaciones de la organización e incluso su existencia», advierte Ricardo Cañizares, director de Consultoría en Eulen Seguridad.
Cañizares concreta que la ausencia de una política de ciberseguridad bien definida en las organizaciones redunda en una «mayor probabilidad de materialización de la amenaza, un mayor impacto en caso de que ésta se produzca y que se dé una respuesta ante un incidente inadecuada y/o ineficaz y/o ineficiente».
En la misma línea se pronuncia Roberto Vilela, director del centro de operaciónes y nuevos servicios de Techco Security. «Sin política y estrategia, es muy posible que ni siquiera seamos conscientes de haber sido atacados. De hecho, se estima que solemos ser conscientes de haber sido atacados más de 270 días después. Si tenemos en cuenta que algunos ataques son persistentes, el impacto de no haber establecido una política y procesos de garantías puede ser muy grande».
Más comedido es Bosco Espinosa de los Monteros, Key Presales Manager de Kaspersky Lab. En su criterio, «una seguridad 100% no existe. No obstante, es muy probable que una empresa con una buena estrategia de seguridad sea capaz de afrontar un ataque con mayor rapidez y minimizar cualquier daño y coste asociado».
Cañizares, Vilela y Espinosa de los Monteros aportarán su visión sobre esta cuestión en la mesa redonda ‘La implantación de una política de ciberseguridad en las corporaciones’, dentro del programa del III Congreso de Seguridad Privada en Euskadi, que se celebrará el 5 de octubre en Bilbao.
Si resulta evidente que es necesaria una estrategia de ciberseguridad la pregunta es obligada. ¿Quién debe liderarla: técnicos o directivos? La respuesta es contundente. «Se debe liderar al más alto nivel, la alta dirección debe marcar el rumbo, definiendo valores y objetivos relacionados con la conciencia del riesgo, impulsando la política y la estrategia de seguridad, y definiendo prioridades», afirma Cañizares. Parafraseando a Clemenceau, asevera que «la ciberseguridad es un asunto demasiado serio como para dejárselo a técnicos”.
Vilela también se muestra tajante al respecto. «Sin lugar a dudas y dada su importancia, la estrategia ha de liderarla la Dirección. Es importante concienciar a todos y cada uno de los empleados de la compañía, y por tanto no es aconsejable delegarla únicamente en las áreas más técnicas».
En este punto, Espinosa de los Monteros matiza que «los departamentos de TI son los que deben evaluar las necesidades y proponer las mejores estrategia en esta materia». No obstante coincide en que «sin apoyo firme y continuado de la dirección ningún proyecto de estas características tendrá éxito».
Claves de la estrategia de ciberseguridad
Una vez definido el quién hay que pasar al cómo. ¿Cuáles son las claves por las que ha de pasar la implantación de esas líneas maestras que marcan la estrategia de ciberseguridad? Responde Cañizares. «Hace falta el apoyo, inequívoco, firme y decidido de la alta dirección, que se demuestra con la asignación de los recursos necesarios».
En la misma línea, el director del centro de operaciones y nuevos servicios de Techco Security, Roberto Vilela, concreta más. «El primer paso es conocer nuestro estado actual, auditar cada uno de nuestros procesos y saber dónde estamos. Así podremos implantar una política en base a los riesgos concretos de cada compañía».
Por su parte, para el responsable de Kaspersky Lab «la seguridad no es un estado, es un proceso constante que ha de abordarse de forma holística (integral) con tecnologías de protección multicapa y soluciones completas». «Así es nuestra visión de la seguridad: predecir, detectar, prevenir, responder«, concluye.
