Tres motivos para NO invertir en ciberseguridad
Por Martín Hoz, vicepresidente regional Sr. de Ingeniería de Preventa en Fortinet para América Latina, Caribe y Canadá
¿Es usted ejecutivo (no necesariamente de Tecnología) dentro de una empresa mediana o grande? ¿Le han hablado sobre ciberseguridad recientemente? ¿Quiere invertir en ciberseguridad? Esto le interesa.
A pesar de tener ya varios años de evolución, el mercado de ciberseguridad está en boga y hay varios factores que así lo indican. Desde la oferta: compañías tradicionales del área de TI han invertido recientemente para adquirir o reforzar sus áreas de ciberseguridad, se llevan a cabo grandes conferencias globales con miles o decenas de miles de asistentes como RSA Conference, BlackHat, DEFCON o Infosecurity, y además de las grandes empresas ya establecidas en el sector, hay una gran cantidad de startups enfocadas en diferentes nichos dentro de la ciberseguridad.
Si vemos el punto de vista de la demanda, más empresas consideran ciberseguridad en su presupuesto. El Foro Económico Mundial en su estudio anual de riesgos globales tiene elementos de ciberseguridad entre alguna de las prioridades. Cada vez más, la prensa de negocios y aún la más general, atienden tópicos de ciberseguridad.
Todo esto no es casualidad; con la transformación que los negocios han tenido para usar cada vez más tecnología y aprovechar una sociedad cada vez más digitalizada, una falla o un ataque a la infraestructura tecnológica puede tener un impacto fuerte en cualquier organización. Por algo se dice que hoy prácticamente cualquier empresa, sin importar su vertical de negocio, es también una empresa de tecnología. Con todo lo anterior ¿por qué entonces el título de este texto habla sobre motivos para NO invertir en Ciberseguridad? Porque si bien hay razones evidentes por las cuales se debe invertir en ciberseguridad, también hay motivos por lo que no se recomienda hacerlo. Revisemos tres de ellos:
No invertir por miedo
“Un ataque de ciberseguridad puede tener un costo que va de seiscientos cincuenta mil a más de 5 millones de dólares por organización y de 5,000 dólares en promedio por cada cliente o empleado que se tenga comprometido”, “hay CEOs que ya han sido despedidos por problemas de ciberseguridad”, “fallas de cumplimiento pueden acarrear multas de varios millones de dólares”, “el atacante promedio puede permanecer dentro de la organización por más de 70 días hasta que es descubierto”, “el rescate que los atacantes exigen ante un ataque de ransomware tiene un rango de 100,000 a varios millones de dólares”.
Muchos hemos leído o escuchado frases similares, en general son datos y cifras con cierto apego a la realidad. Pero, más allá de su exactitud y validez para su país e industria en la que opera, hay que tener cuidado sobre qué hacemos con esta información. Estas cifras debieran ayudar para ofrecer un contexto y apoyar a generar conciencia sobre la importancia de invertir en tecnología, personas y procesos alrededor de la ciberseguridad. Tristemente, algunos oferentes de tecnología y servicios las usan para generar miedo y entonces promocionar una tecnología o servicio en particular como antídoto para ese temor generado, lo cual es una trampa. Comprar por miedo puede hacerle tomar decisiones equivocadas.
Es por eso por lo que debe comprarse ciberseguridad, primero pensando en su negocio y sus necesidades particulares, tomando en consideración su industria, marcos regulatorios, niveles de servicio, tolerancia y apetito al riesgo, y varios factores más. La inversión en ciberseguridad siempre debe ser planeada y organizada. Nunca como respuesta visceral ante algo que parece apremiante, independientemente si lo es o no. La decisión de invertir en ciberseguridad es y debe mantenerse como una inversión relacionada con el negocio. No debe de realizarse con miedo. Aun si la inversión obedece a que ya hubo un ataque reciente que vulneró su organización.
Por cierto, hay una manera relativamente simple de detectar a quien vende miedo en lugar de valor: tiene la tendencia de apuntar a los errores de otros, en lugar de enfocarse en las fortalezas propias.
No invertir por cumplimiento
Hace varios años, mientras asistía a un diplomado sobre negocios, el instructor nos contó una broma que se me quedó muy grabada: “Si solo hago cumplimiento, entonces cumplo y miento”. Esto tiene algo de verdad por detrás.
No está mal usar tecnología para apegarse a marcos de referencia o cumplir regulaciones (HIPAA, PCI-DSS, GDPR, son algunos ejemplos) que algunos países y algunas industrias exigen para garantizar un mínimo de confiabilidad en la infraestructura que soporta sus negocios. El problema es cuando se invierte e implementa solo en lo mínimo necesario para cumplir, pues puede generarse una falsa sensación de seguridad.
La razón para esto es que las normas suelen ser específicas para una parte del negocio. Por mencionar algunos ejemplos: una norma para el manejo de datos personales puede quedarse corta en los mecanismos para pago. Una norma que atiende los sistemas de pago puede quedarse corta en la revisión de los sistemas de tecnología operativa (OT). Una norma relativa a ambientes operacionales puede quedarse corta respecto a privacidad de datos personales, y así sucesivamente.
Por tanto, es frecuente que una organización requiera que se contemplen elementos que son críticos para el negocio, pero que van más allá del alcance de la norma individual con la cual se pretende cumplir. Al final, debe hacerse lo que tenga sentido para la organización particular que se quiere proteger. Por otro lado, con frecuencia las tecnologías utilizadas para reforzar el cumplimiento tienen mucha más funcionalidad que puede ser aprovechada para mejorar la postura de seguridad en más áreas de la organización. El cumplimiento entonces, debiera ser un impulsor más de inversión (no el único).
No invertir por moda
Hace algunos años vino el “boom” de las tablets y las ofertas para gestionar de mejor manera el “bring your own device” (BYOD) se multiplicaron. Vino después la nube y la consiguiente oleada de tecnologías y servicios para atender requerimientos relacionados con ella. Cada vez que hay un cambio en la manera en cómo individuos u organizaciones consumen tecnología, hay un nuevo conjunto de ofertas para atender ese cambio.
Es ilógico no considerar aprovechar tecnologías o innovaciones recientes pero es importante hacerlo de forma adecuada. Aparte de la nube, hoy en seguridad tenemos muchas conversaciones alrededor de la inteligencia artificial (IA) o el Secure Access Service Edge (SASE) por mencionar un par de ejemplos. ¿Debiera tener toda mi tecnología usando inteligencia IA? ¿Debieran estar todos mis usuarios en un modelo SASE? Tiene sentido en algunos casos, pero no siempre y no para todo.
Los oferentes de tecnología y servicios de ciberseguridad debemos buscar entender el negocio, aconsejar sobre los casos de uso más apropiados y siempre brindar opciones. Observar una postura absolutista, sin alternativas de hacer cambios de forma gradual en donde tenga sentido, debiera ser un foco rojo en la conversación.
Es necesario analizar cuidadosamente cada organización, alinear la dirección tecnológica con las prioridades del negocio para mejorar márgenes, incrementar la lealtad de clientes, reducir costos, atender nuevos mercados, etc. para entonces determinar qué inversión tiene sentido y cómo debiera hacerse. Esta es una vieja receta que no debe cambiar, sin importar de qué tecnología estemos hablando.