¿Por qué invertir en seguridad de la información?

¿Por qué invertir en seguridad de la información?

Las empresas buscan tener datos protegidos, pero ven la seguridad de la información como un costo y no como inversión.

Internet ha cambiado nuestras vidas de innumerables maneras positivas, pero tiene un lado oscuro: se ha diluido la privacidad personal, y pone en riesgo nuestra información a merced de individuos sombríos, empresas de dudosa reputación o agencias de seguridad falsas.

Cuando se trata de información, sólo 2% de los datos que recibe una empresa son sensibles. Sin embargo, este porcentaje representa 70% del valor de una compañía, según el estudio de IBM Calculating the Cost of a Data Breach in 2018, the Age of AI and the IoT.

La recomendación de los expertos en seguridad es que la información que gestionan empresas del sector financiero como aseguradoras y bancos, entre otras, la clasifiquen para mitigar riesgos y que permanezca segura, incluso a ojos de los empleados de estas compañías.

“Y no deben escatimar en el rastreo del uso de la información: cómo la obtuvo y qué hizo con ella”, señala Eduardo Palacio López, Especialista en Ciberseguridad para IBM de México.

Las organizaciones tienen que establecer políticas de seguridad, procedimientos y contar con herramientas que impidan que la información se fugue, “aún si el usuario se equivocó en el manejo o si es mal intencionado y trata de robar datos”, añade Dimitry Bestuzhev, Director del Equipo Global de Investigación y Análisis de Kaspersky en Latinoamérica.

 

ANTES DE UN ATAQUE

Palacio revela un dato escalofriante, basado en el estudio de IBM: “70% de las empresas en el mundo no tienen claridad de qué están haciendo los usuarios privilegiados con su información”.

La recomendación de los expertos, luego de clasificar la información, es rastrearla para mantener un registro oportuno de en qué momento se accede, quién lo hace y qué hace con esos datos.

El experto de Kaspersky sugiere realizar un modelamiento de amenazas, porque da una visión de los ataques susceptibles de sufrir, qué impacto tendrían y entonces saber en dónde invertir.

“Hay que hacer una auditoría en el manejo de la información: primero establecer la política de accesos y luego cómo se manejan los datos”, establece Bestuzhev.

Toda organización está expuesta a una brecha de seguridad. Una vez que ocurre un mal manejo de datos (definido cuando hay pérdida de confiabilidad, integridad o disponibilidad de datos sensibles), la compañía sufre un daño económico.

El costo de un registro perdido en 2018, según el estudio de IBM, es de 148 dólares, en promedio. Sin embargo, en el sector financiero el costo promedio por registro se incrementa a 247 dólares, por la naturaleza de los datos que tienen estas organizaciones, y en el sector salud sube aún más, 408 dólares.

 

DESPUÉS DE UN ATAQUE

El sector financiero es el más atacado: durante dos años consecutivos ha ocurrido en términos de volumen de incidentes y de ataques. Esto implica que tiene un mayor mandato en el aseguramiento de los datos.

“Hay 31% de empresas en el mundo que consideran que el presupuesto para ciber resiliencia no es adecuado”, apunta Palacio.

El tiempo que tarda una organización en identificar una brecha de datos es de 197 días y demora 69 días más en contener el daño, a esto es lo que llaman ciber resiliencia. Si una empresa puede reducir esos números promedio a menos de 30 días, se ahorra un millón de dólares y si además logra identificar el incidente en menos de 10 días, se ahorra otro millón de dólares.

“Aquí hay una relación directa entre la capacidad de respuesta de la empresa y los costos”, acota Palacio.

La mayoría de las organizaciones suele ver el tema de seguridad como costo, rara vez se habla de inversión en seguridad, ya que no da un retorno de inversión directo. Hacer la relación entre la inversión en términos de seguridad y los costos asociados es una línea muy delgada.

Cuando una empresa implementa automatización en los procesos de seguridad (cómo se automatiza el monitoreo de la base de datos, cómo ocurre el descubrimiento de nuevos datos sensibles, entre otros) puede conseguir un ahorro de 1.5 millones de dólares. “Esto no es un dato menor”, dice Palacio.

Hay que establecer una respuesta de qué sucedió y cómo. Es importante saberlo para tapar la fuga.

“Es importante no ocultar que ocurrió un problema”, recomienda Bestuzhev.

Luego del incidente, añade el experto, hay que seguir el protocolo y hacer la denuncia pública, ajustar los planes y seguir las políticas de seguridad.

Durante una década, el sector financiero casi estuvo blindado contra los ataques; eso fue antes. Ahora tiene que adaptarse a la medida de los ataques de este nuevo siglo.

 

CUATRO REGLAS BÁSICAS

IBM tiene una guía de mejores prácticas para proteger los datos:

  • Descubrir cuáles y dónde residen los datos sensibles y su nivel de vulnerabilidad.
  • Implementar controles específicos de seguridad, como el uso de encripción, para mantener la confidencialidad, integridad y la disponibilidad de la información.
  • Monitorear y tener visibilidad completa de los datos y las conexiones, y alertar de conexiones ilegítimas.
  • Proteger y bloquear una transacción sobre la base de datos, si es que compromete un dato sensible.