Ciberseguridad, para 2020 costará USD 2.5 billones

Si el crimen cibernético fuese un negocio, sus ganancias anuales de USD 500,000 millones, ocuparían el tercer lugar entre las principales corporaciones en los Estados Unidos. Para el año 2020 se proyecta que el crimen cibernético le va a costar USD 2.5 billones a la economía global.

Hay otro hecho que hay que reconocer: uno puede estar listo para los ataques cibernéticos, preparado para lidiar con ataques cuando surgen e incluso evadirlos antes de que lancen. Los pasos para esto, están trazados en un nuevo estudio comisionado por AT&T y realizado por IDC: Preparación para la Ciberseguridad: Que tanto “riesgo” tiene su empresa.

El estudio identificó cuatro niveles distintivos de preparación contra los ataques cibernéticos. Pasivos: Poco involucramiento de los altos ejecutivos. Revisiones infrecuentes de las políticas y protocolos o evaluaciones de riesgos por terceros. Las brechas de seguridad pasan mayormente desapercibidas.

Reactivos: Los altos ejecutivos dependen del departamento de TI para la experiencia en seguridad. Las revisiones y las evaluaciones de riesgo se realizan trimestralmente. Las brechas de seguridad se manejan a medida que ocurren.

Proactivos: Los altos ejecutivos prestan una atención más cercana a la seguridad. Los ataques actuales se confrontan; los futuros se anticipan. Las revisiones y las evaluaciones de riesgo se realizan mensualmente.

Progresivos: Mucha involucración de los altos ejecutivos. Mientras se defienden de posibles brechas, el valor de los datos que pueden haberse llevado es reducido. Las revisiones y las evaluaciones de riesgo se realizan continuamente. El reporte también ofrece recomendaciones que aplican al mundo real:

Comenzar por la alta gerencia: Al igual que cualquier elemento vital de la cultura de una organización, la preparación en ciberseguridad debe impregnar todos los niveles de la organización, comenzando con la junta directiva y los altos ejecutivos.

IDC encontró que el 60% de las compañías progresivas reportaron que su equipo ejecutivo más alto prestó atención “muy cercana” a los asuntos de seguridad, con información diaria y con una actitud de “manos a la obra”. Esa actitud es la que deja en claro al equipo gerencial de nivel medio y a los empleados que hay que adherirse a las políticas, seguir las mejores prácticas e identificar y proteger a los activos claves.

Para nutrir el involucramiento necesario del nivel gerencial alto, los CIOs y los CISOs tienen que dejar de “hablar geek” en el comité ejecutivo y proponer nuevas inversiones de ciberseguridad en términos de ROI, mejoras a la productividad y mayores ganancias (existe una correlación real).

Evaluar los riesgos para evitar desastres: Más allá de los costos en dólares y centavos que generan los titulares, cada brecha de seguridad inflige daños más intangibles a la reputación de la marca y a la lealtad de los clientes. Son dos razones adicionales por las que las evaluaciones de riesgo y las revisiones frecuentes deben ser una parte esencial de la postura general sobre ciberseguridad en la organización.

IDC encontró que las organizaciones con mejor preparación en seguridad cibernética realizaron evaluaciones de riesgo y revisiones casi continuas. Eso puede sonar como una reacción exagerada, pero en un mundo donde nuevos riesgos emergen día a día no es más que simple uso del sentido común.

Aprender lo que pueden ofrecer los proveedores externos: Primero, liberan al equipo interno de TI para que puedan manejar funciones críticas del día a día. Segundo, mientras que las amenazas cibernéticas y soluciones evolucionan continuamente, los proveedores externos traen el conocimiento actualizado y la experiencia que pocos dentro de la organización tienen tiempo de adquirir. Finalmente, las empresas más preparadas en seguridad encontraron que un tercero imparcial es el mejor candidato para realizar evaluaciones de riesgo completas.

En cambio, al utilizar herramientas de inventario de activos y de clasificación de datos, se identifican los datos que son más importantes para la compañía y para los clientes. No van a sumar más del 20% del total de los activos. Estas son las joyas de la corona de la empresa, y merecen el esfuerzo y el gasto de las más avanzadas tecnologías de seguridad. Los activos menores se pueden confiar a un proveedor de servicios de seguridad administrados.

Invertir. Y luego invertir nuevamente: Como en cualquier otro aspecto de la empresa, reinvertir el dinero en ciberseguridad, especialmente en defender ese 20%, dará resultados. IDC descubrió que las organizaciones Progresivas tienen el hábito de aumentar su gasto de seguridad en hasta un 40% cada año, en comparación con entidades más Pasivas que se conforman con un aumento del 17%.

En este momento, las compañías con mayor preparación en seguridad están invirtiendo en soluciones avanzadas de detección y mitigación de amenazas, manejo de vulnerabilidades, seguridad de datos, seguridad web e incluso en agentes de seguridad de aplicaciones en la nube.

Nota por: Jacob Hill, gerente líder de marketing, security, AT&T

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Noticias relacionadas
Total
0
Share