*La
inversión global en Seguridad de la Información en el año 2017 fue de
aproximadamente US$ 85 mil millones, que representan un valor récord y
un aumento del 7%.
|
Según números estimados de
Gartner, la inversión global en Seguridad de la Información en el año
2017 fue de aproximadamente US$ 85 mil millones, que representan un
valor récord y un aumento del 7% en comparación con la inversión en el
año 2016. En este año, se calcula que esta inversión alcanzará US$ 93
mil millones.
Sin embargo, también en el
año 2017 en el cual se invirtió un valor récord, fue el período en que
presenciamos récords en términos de pérdidas causadas por los ataques
cibernéticos. Algunos estudios indican que se ha reducido el número de
incidentes, pero el impacto aumentó significativamente. El ejemplo que
mejor ilustra esto es el ransomware que, sólo con casos más públicos
como WannaCry y Petya/notPetya, generó pérdidas estimadas entre US$ 5
mil millones y US$ 10 mil millones. Hubo casos significativos, como los
reportados por las compañías navieras, que perdieron cientos de millones
de dólares, o los ensambladores de automóviles que tuvieron sus
fábricas paradas durante días. Analistas prevén que las pérdidas totales
generadas por crímenes y fraudes cibernéticos alcanzarán billones de
dólares al año.
La pregunta que surge es: a pesar de las inversiones crecientes en
seguridad, ¿cómo siguen ocurriendo los ataques y de manera más agresiva?
Lamentablemente, la
respuesta no es trivial, porque incluye enfoques diferentes. Pero, sin
duda, un punto importante es que el crimen cibernético se ha convertido
en un negocio muy rentable para los criminales de diferentes partes del
mundo. Olvide el tráfico de armas y drogas; el negocio con la mejor
relación riesgo/recompensa para organizaciones criminales es actualmente
el crimen cibernético. Así, en ese sentido, por más que crezcan las
inversiones en seguridad, todavía rivalizarán con la alta capitalización
y la organización de bandas mundiales de criminales que se han
especializado en el tema. Hace algún tiempo que, incluso, se observaba
una cadena de valor – con software malintencionado, distribuidores,
invasores, modelos de negocio con alquiler como un servicio, compra de
licencias –, en suma, altos niveles de sofisticación técnica y
comercial.
Pero eso no significa que
nada puede ser hecho, por el contrario. Si tomamos como ejemplo
justamente los ataques más conocidos y citados más arriba, se percibe
que eran conocidas las vulnerabilidades explotadas para causar los
daños. Las empresas fueron víctimas por fallar en tareas simples, tales
como la Gestión de Actualizaciones (Patch Management) de sus plataformas
más comunes (Windows). Además, muchos ataques son sofisticados en
términos tecnológicos, pero sencillos en el enfoque – como, por ejemplo,
un "simple" phishing.
Por lo tanto, hay otra importante lección a ser aprendida: la seguridad
no tiene que ver sólo con herramientas criptográficas sofisticadas,
biometría y otras técnicas de autenticación multifactorial, inteligencia
artificial y aprendizaje automático, capacidad analítica, entre otras
técnicas para predicción, detección y respuesta a incidentes. No tiene
que ver sólo con otras poderosas herramientas que tenemos disponibles
hoy en día. Ellas son esenciales, pero no suficientes si viejos
controles, como procesos estructurados de gestión y personal calificado,
no están presentes.
Por eso, certifíquese de
que la seguridad está siendo "operacionalizada" como debe ser. Si no
está, y le faltan recursos para hacerlo – o incluso no sea su foco
tenerlos – considere apoyarse en un socio de seguridad que pueda
hacerlo. Empresas conceptuadas no sólo en materia de seguridad, sino
éticas en cada aspecto de los negocios, comprometidas con el desarrollo
de la carrera de sus profesionales y con la capacidad comprobada de
entregar resultados durante trayectorias de años de prestación de
servicios, son los socios ideales en esos momentos. Afortunadamente,
hemos visto un creciente movimiento de búsqueda por excelencia operativa
que, sin duda, contribuirá a la mayor maduración del mercado como un
todo en el tema de seguridad.
*Leonardo Carissimi es director de soluciones de seguridad de Unisys en América Latina.
|
miércoles, 16 de mayo de 2018
¡Operacionalizar la seguridad ahora!
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario