La temporada de presupuestos está aquí. A medida que el año fiscal actual llega a su fin, los líderes empresariales de todo el mundo se reunirán para discutir la estrategia empresarial, las oportunidades y el retorno de inversión (ROI), al tiempo que priorizan el gasto presupuestario del próximo año. En medio de la planificación y la priorización, es una apuesta segura que las organizaciones de TI renovarán su solicitud anual de un aumento en la asignación presupuestaria para la seguridad. Después de todo, ¿aumentar el gasto en ciberseguridad evitará que los atacantes comprometan su infraestructura el próximo año, verdad?
Cybersecurity Ventures predijo recientemente que el gasto mundial en ciberseguridad aumentará constantemente y superará el billón de dólares entre 2017 y 2021. Pero el sitio de noticias también afirmó que el costo del cibercrimen en todo el mundo aumentará a $6 billones anuales para 2021. Algo parece estar mal con cualquier predicción que correlacione un aumento en el gasto en prevención con un aumento en los daños causados por la penetración exitosa de esas mismas defensas. No es porque no crea en los números, sino porque muestran lo verdaderamente obsoleto que está el enfoque tradicional de la ciberseguridad. La industria ha pasado literalmente décadas sin ninguna mejora real. ¿Cómo es esto aceptable? Es hora de poner luz sobre el peor secreto guardado de la industria: simplemente gastar más dinero en el problema no impide que los atacantes entren o que ocurran brechas de seguridad. Es muy probable que ambas cosas sigan ocurriendo. Lo que es aún más preocupante es que ya han ocurrido y simplemente aún no lo sabes.
El problema no se centra únicamente en la tecnología, ha habido muchas innovaciones significativas en la industria de la ciberseguridad en los últimos años. Para muchas empresas, el elefante en la habitación es tratar la seguridad como un problema exclusivamente tecnológico. Solo hay que mirar la situación actual de Facebook. Los CISOs de hoy en día se han encontrado cada vez más impotentes para lograr un cambio real en la seguridad de los datos y la infraestructura de una organización porque carecen de la visión de las condiciones que dan lugar a comportamientos maliciosos o riesgosos. Por ejemplo, la seguridad tradicional de TI asume que todos son potencialmente actores maliciosos y, por lo tanto, trabaja para demostrar la culpabilidad de alguien que hace clic en enlaces sospechosos, visita sitios web peligrosos o accede inapropiadamente a datos sensibles. No todos son intencionalmente malos, pero su comportamiento es un continuo que puede cambiar en un instante, especialmente cuando su identidad es robada. Incluso más básico, los empleados pueden cometer errores honestos en la cultura actual de trabajo las 24 horas del día, los 7 días de la semana. Al presionar el equilibrio entre el trabajo y la vida para cumplir con plazos ajustados, pueden estar demasiado cansados para reconocer un correo electrónico de phishing que compromete sus credenciales hasta después de hacer clic en él. Lo que potencialmente es más perjudicial, simplemente podrían volverse descontentos con su empleador y decidir robar datos de la empresa.
Es hora de repensar nuestra estrategia de ciberseguridad. No podemos seguir desperdiciando dólares en soluciones que no abordan los problemas reales. Necesitamos un enfoque más holístico que considere no solo la tecnología, sino también los factores humanos y las condiciones que pueden llevar a comportamientos riesgosos. La ciberseguridad debe ser una responsabilidad compartida en toda la organización, no solo una tarea asignada al departamento de TI. Además, debemos invertir en educación y concientización para que los empleados estén mejor preparados para reconocer y evitar amenazas.
En resumen, gastar más dinero en ciberseguridad no es la solución. Necesitamos un cambio de enfoque y una estrategia más integral para proteger nuestros datos y nuestra infraestructura. No esperemos a que ocurra una brecha de seguridad para tomar medidas, debemos actuar ahora.
