Evite tener ROI negativo a causa de la falta de inversión en seguridad IT

Evitando el ROI negativo con Ciberseguridad

Publicada en Publicada en Noticias

Algo que debemos en cierto modo agradecer a los recientes ataques cibernéticos que afectaron computadoras en más de 150 países es que mostraron a las compañías en todo el mundo qué ocurre cuando no se mantienen los sistemas actualizados.

Los investigadores de seguridad e infraestructura sostienen que las empresas que invierten en ciberseguridad ahorran dinero a largo plazo. El virus WannaCry afectó sólo a máquinas más angituas que no tenían los parches de seguridad correctos. ¿La lección? No hacer ciberseguridad tiene ROI negativo.

Por supuesto que las grandes corporaciones, en líneas generales, se mantienen “dentro de la curva” cuando se trata de establecer el riesgo cibernético, pero con las empresas más pequeñas otra es la historia. Es importante concientizar a los directivos de que el riesgo cibernético es equivalente al riesgo natural, al riesgo operacional o al crediticio, y deben gestionarlo con políticas internas y acciones concretas que requieren tanto inversión como entrenamiento.

Esas organizaciones pequeñas y medianas, ¿qué tipo de cosas pueden hacer para convencer a los miembros de la junta de que hagan las inversiones adecuadas y quién debería tomar la iniciativa? ¿El CFO está haciéndose las preguntas correctas a la hora de evaluar el riesgo cibernético? Tan sólo propiciar el interés en la gestión del riesgo cibernético es un primer paso para establecer PyMEs más seguras.

Los riesgos principales, como decíamos, se enfrentan con una combinación de inversión y entrenamiento, ya que las habilidades de ingeniería social de los atacantes son cada vez más inteligentes, y los sitios de suplantación de identidad (phishing) está avanzando en forma muy significativa.

Un buen entrenamiento comienza con la conciencia de que simplemente no debe clickearse en enlaces que no mires con atención o realmente sea necesario – y es muchas veces el personal de mayor jerarquía quien resulta víctima potencial de estos mecanismos de fraude.

¿Se necesita un cambio en la mentalidad para contrarrestar los ataques cibernéticos?

Es interesante la reflexión al respecto de Michael Siegel, del MIT Sloan School of Management, “el argumento es que no todos vamos a ser informáticos e ingenieros, pero todos vamos a usar una computadora. Esta es una cosa social para enseñar”.