La ciberseguridad ocupa un lugar destacado en la agenda de casi todas las organizaciones. Sin embargo, muchas empresas siguen siendo vulnerables porque la seguridad de la información no siempre está profundamente integrada en las operaciones empresariales. A menudo, las medidas sólo se toman a posteriori, por ejemplo en caso de incidentes o bajo la presión de nuevas leyes y normativas. Al mismo tiempo, vemos que las organizaciones que sí adoptan un enfoque proactivo y holístico tienen menos probabilidades de sufrir problemas graves. En este artículo, mostramos por qué es tan importante una visión integral de la ciberseguridad, dónde suelen fallar las cosas en la práctica y cómo pueden las empresas elevar su nivel de seguridad de forma sostenible.
Un ejemplo elocuente de los riesgos de la seguridad ad hoc es la violación de datos de Equifax en 2017. Esta oficina de crédito estadounidense perdió los datos personales de millones de clientes porque no se corrigió a tiempo una vulnerabilidad de software conocida. Aunque se habían tomado medidas tecnológicas (cortafuegos, sistemas de detección de intrusos), Las investigaciones revelaron que la gestión de parches y el análisis de riesgos no estaban suficientemente integrados en los procesos empresariales. La organización no sabía exactamente dónde funcionaban los sistemas vulnerables ni quién era responsable de ellos.
El incidente demostró que unas cuantas soluciones técnicas sueltas no ofrecen garantías cuando no existe una política integrada. La falta de apropiación, la escasa comunicación entre departamentos y el insuficiente conocimiento de los datos críticos contribuyeron al impacto de esta filtración de datos. El coste para Equifax ascendió a cientos de millones de dólares y el daño a su reputación fue enorme.
Pensamiento holístico de seguridad
Una de las lecciones de estos incidentes es que la seguridad requiere algo más que “soluciones” técnicas como programas antivirus, cortafuegos o una prueba de penetración puntual. Por supuesto, esas tecnologías son útiles, pero deben integrarse en un sistema en el que las personas, los procesos y las políticas están perfectamente armonizados.
- Factor humano. Muchos incidentes se producen por errores humanos: un clic desatento en un enlace de phishing, una mala configuración en la nube o un acceso no autorizado a las cuentas. La concienciación y la formación continua son Por tanto, es indispensable. Esto va más allá de un programa de concienciación puntual; requiere una cultura en la que los empleados se atrevan a notificar incidentes y casi incidentes sin temor a sanciones.
- La seguridad debe ser un punto recurrente del orden del día: desde el desarrollo de productos y la selección de proveedores hasta el uso diario de los sistemas. Por ejemplo, integrar la gestión de riesgos en los procesos de cambio, para que no sea algo que haya que regular “a posteriori”.
- Sin responsabilidades claras y una clara división de tareas, la ciberseguridad suele quedarse en buenas intenciones. Por lo tanto, designe un CISO o responsable de seguridad con un mandato y una estructura de informes claros. De esta forma, los riesgos e incidentes reciben la atención a nivel de la junta directiva. Al reunir todo esto en un marco, la seguridad no es un elemento de cierre, sino una parte integral de la estrategia y el funcionamiento.
El papel de la legislación
En Europa, la atención jurídica a la seguridad digital está creciendo significativamente. Algunas novedades clave:
- Este reglamento introduce un marco europeo para la certificación de productos y servicios TIC. Las organizaciones pueden hacer que se evalúe la seguridad de sus soluciones, lo que crea un mercado más transparente.
- Esta ley consagra el principio de “seguridad desde el diseño” en todo el ciclo de vida del hardware y el software. Los fabricantes y vendedores siguen obligados a corregir las vulnerabilidades e informar de ello a los usuarios.
- La directiva NIS reforzada amplía el ámbito de aplicación a más sectores (energía, sanidad, transportes y servicios digitales críticos) y establece requisitos más estrictos para la notificación de incidentes y la responsabilidad de los gestores, entre otros.
Estos reglamentos no sólo dan a las organizaciones obligaciones adicionales, sino también más orientación. Sin embargo, quienes se limiten a “cumplir” los requisitos legales se encontrarán con que el listón está cada vez más alto. Una organización que invierta en una estrategia de seguridad integrada encontrará más fácil adaptarse a los nuevos requisitos y también gozará de la confianza de clientes, proveedores y reguladores.
IA y datos: la próxima oleada de riesgos La Inteligencia Artificial (IA) y el análisis de datos a gran escala traen consigo nuevas oportunidades, pero también nuevas amenazas y dilemas éticos.
- **Los modelos de IA son tan buenos como los datos con los que se entrenan. Cuando los conjuntos de datos para el reconocimiento facial consisten principalmente en imágenes de determinadas poblaciones, puede dar lugar a un modelo que apenas reconozca bien a otros grupos. Esto no sólo perjudica a las personas a las que perjudica, sino que también puede tener consecuencias legales y para la reputación de la organización que utiliza la IA.
- **Sofisticados modelos de IA pueden generar vídeos, audios o imágenes realistas que aparentemente hacen que las personas digan o hagan cosas que nunca ocurrieron. Este fenómeno puede utilizarse para el fraude, el chantaje o la desinformación por motivos políticos. Las organizaciones harían bien en invertir en herramientas de detección y en concienciar a sus empleados para que puedan reconocer a tiempo los contenidos deepfake.
- **Los actores maliciosos pueden manipular los modelos de IA alimentándolos con datos sutilmente manipulados. Por ejemplo, los coches autoconducidos pueden “confundirse” si una señal de stop con pequeñas pegatinas se reconoce como otra señal. Estos ataques requieren comprobaciones adicionales de los datos de entrada y la validación periódica del modelo.
- **La IA suele basarse en grandes cantidades de datos (personales). Si éstos no están suficientemente anonimizados o se almacenan de forma incorrecta, un pirateo o una configuración errónea pueden dar lugar a graves violaciones de la privacidad. El énfasis se basa, por tanto, en la clasificación de los datos, un estricto control del acceso y el cifrado. Así pues, es esencial contar con una sólida estructura de gobernanza de datos: defina qué datos recopila, dónde se almacenan, quién tiene acceso a ellos y qué medidas de seguridad. necesaria. Las organizaciones que quieran implantar la IA sin adaptar su modelo de seguridad corren el riesgo de enfrentarse a nuevas formas de ataque. La legislación, como la (próxima) Ley de IA, también exige a la transparencia, la explicabilidad y la documentación de los sistemas de IA. Una visión holística de la seguridad no es un lujo, sino una necesidad imperiosa.
Aprender de sectores muy regulados
En sectores en los que la seguridad es literalmente una cuestión de vida o muerte -como la aviación y la industria farmacéutica-, un planteamiento integrado ha sido fundamental durante décadas.
- Desde las listas de comprobación previas al vuelo hasta la notificación de incidentes, cada paso se registra mediante un procedimiento. Las listas de comprobación no son meras listas formales, sino herramientas con las que se registran los pasos cruciales. Las plumas se hacen visibles y controlables. Los errores se detectan rápidamente y pueden abordarse de forma sistemática.
- El sector farmacéutico tiene estrictos requisitos de validación de equipos y procesos (“Calidad por diseño”). Cada eslabón de la cadena (desde la investigación hasta la producción) se documenta y supervisado. Así se crea una cultura en la que la mejora continua y el análisis minucioso de los riesgos son algo natural.
Estos sectores demuestran que una normativa estricta y unas listas de control no son necesariamente prohibitivas. Al contrario: siempre que se utilicen correctamente, ayudan a minimizar los riesgos y errores en una fase temprana. detectar. La clave está en trabajar realmente con ello en la práctica y aprender de ello, en lugar de limitarse a cumplir “oficialmente” las normas. Este principio -integrar la seguridad en todos los niveles de la organización- también es aplicable a la seguridad informática y de la información.
Del cumplimiento a lo intrínseco seguridad Ahora bien, ¿cómo pasar de un “mínimo “cumplimiento” de una seguridad intrínseca cultura? Algunos puntos de interés:
- **Si la dirección considera la seguridad sobre todo como una partida de gastos o una condición previa, los empleados también la percibirán así. Sólo cuando la dirección deje claro que la seguridad es una prioridad estratégica y asigne recursos (presupuesto, personal, tiempo) a este fin, la organización tendrá la oportunidad de hacer verdaderos progresos.
- **Empiece preguntándose: “¿Dónde están nuestras verdaderas joyas de la corona? Concentre la seguridad en los datos, procesos y sistemas que causan el mayor daño cuando se pierden o se utilizan indebidamente. De este modo, evitarás invertir al azar en sistemas “aleatorios”. soluciones.
- **Normas como la ISO 27001 y marcos como el NIST CSF proporcionan una estructura completa y le ayudan a no pasar por alto nada importante. El quid es que Entender por qué se marcan determinados puntos y cómo contribuye a la seguridad de la organización. Considere las listas de comprobación como una herramienta, no como un fin en sí mismo. En los sectores en los que la seguridad es literalmente una cuestión de vida o muerte, como la aviación, una lista de comprobación integrada es una herramienta, no un fin en sí mismo. ha sido fundamental durante décadas. Desde las listas de comprobación previas al vuelo hasta la notificación de incidentes, cada paso está definido por un procedimiento. En este caso, las listas de comprobación no son meras listas formales, sino herramientas que hacen visibles y verificables los pasos cruciales. Los errores se detectan rápidamente y pueden abordarse de forma sistemática.
- **La ciberseguridad no es sólo informática. Los aspectos jurídicos (contratos, conformidad), los RRHH (procedimientos de contratación, formación), las instalaciones (seguridad física) y las adquisiciones (gestión de proveedores) desempeñan un papel. Cree un grupo de trabajo multidisciplinar o un comité directivo con amplia responsabilidad sobre el enfoque integrado.
- **La ciberseguridad nunca está “acabada”. Cree un ciclo regular de supervisión, evaluación, información y ajuste. Realice análisis de incidentes y tendencias para reconocer patrones. Este ciclo Planificar-Hacer-Verificar-Actuar enlaza con los métodos de aseguramiento de la calidad y garantiza que no le pillen desprevenido las nuevas amenazas o los cambios en la normativa.
El camino a seguir
Muchas organizaciones tienen la intención de mejorar su seguridad, pero les cuesta trasladarlo a la práctica diaria. En incidentes -como la filtración de datos de Equifax o los innumerables ataques de ransomware- ven cada vez, descubrimos que faltaban una o varias facetas cruciales: propiedad, conocimiento de los datos valiosos, disciplina de procesos o concienciación de los empleados.
Mientras tanto, crece la presión de leyes y reglamentos, pero también de clientes y socios colaboradores que exigen que se garantice la confidencialidad y la continuidad. Sin embargo, también hay una cara positiva: quienes adopten un enfoque integrado e inviertan en personas, procesos y tecnología descubrirán que los requisitos de cumplimiento son más fáciles de satisfacer. Además, cosecharán los beneficios de una mayor fiabilidad y una mejor imagen.
La “ciberseguridad holística” puede verse como un proceso de mejora continua, en el que se aprende constantemente de los errores, las nuevas amenazas y las perspectivas de todo el sector. Observando las lecciones aprendidas en aviación y farmacia, por ejemplo, o los riesgos adicionales introducidos por la IA, puede reforzar la columna vertebral de su propia organización. Así evitará que la seguridad sea algo que solo gestiona “a posteriori” o “sobre el papel” y la convertirá en un verdadero factor de éxito.
Este artículo apareció anteriormente en Quality in Business (pdf)