La ciberseguridad puede causar dolores de cabeza organizativos. En 2016, los ataques cibernéticos costaron a las empresas casi $4 mil millones y expusieron un promedio de 24,000 registros por incidente. En 2017, se espera que el número de ataques aumente en un 36%. El constante bombardeo de amenazas y ataques se está volviendo tan común que se espera que las empresas inviertan más de $93 mil millones en defensas cibernéticas para 2018. Incluso el Congreso está actuando más rápidamente para aprobar leyes que, con suerte, mejorarán la situación. A pesar del aumento del gasto e innovación en el mercado de la ciberseguridad, hay todas las indicaciones de que la situación solo empeorará. El número de dispositivos no gestionados que se introducen en las redes diariamente está aumentando de manera exponencial, con Gartner prediciendo que habrá 20 mil millones en uso para 2020. Las soluciones de seguridad tradicionales no serán efectivas para abordar estos dispositivos o protegerlos de los hackers, lo cual debería ser una señal de alerta, ya que los ataques a dispositivos de IoT aumentaron un 280% en la primera parte de 2017. De hecho, Gartner anticipa que un tercio de todos los ataques se dirigirán a la TI en la sombra y a IoT para 2020. Este nuevo panorama de amenazas está cambiando el juego de la seguridad. Los ejecutivos que se preparan para enfrentar los desafíos futuros de la ciberseguridad con la misma mentalidad y herramientas que han estado utilizando hasta ahora están destinados a fracasar continuamente.
La falsa panacea del entrenamiento en seguridad
Existe mucho debate sobre la efectividad del entrenamiento en seguridad y conciencia, centrado en creencias contradictorias de que los humanos pueden ser los eslabones más efectivos o más débiles en las cadenas de seguridad. Sin embargo, no se puede negar que en la era de los ataques de ingeniería social y el uso de dispositivos no gestionados, la confianza en una estrategia basada en humanos es cuestionable en el mejor de los casos. Esta afirmación se sustenta aún más cuando se consideran informes recientes publicados por proveedores de seguridad como PhishMe, que muestran que el 80% de los empleados que han completado el entrenamiento siguen siendo susceptibles a ser víctimas de phishing. Solo se necesitó un clic en un enlace que llevó a la descarga de malware como WannaCry y Petya para desencadenar eventos globales de ciberseguridad en cascada. Esto por sí solo debería ser tomado como una prueba absoluta de que los humanos siempre representarán el punto débil de las defensas corporativas.
Conectividad primero, seguridad después
Hoy en día, los dispositivos conectados están siendo utilizados por los empleados para impulsar la actividad y los resultados económicos. Su utilidad y conveniencia están dando a los dispositivos de IoT un lugar en la empresa, en oficinas corporativas, hospitales, plantas de energía, instalaciones de fabricación y más. Recientemente descubrimos que el 82% de nuestros clientes empresariales utilizan Amazon Echos, que casi siempre están en la oficina de un ejecutivo. Estos dispositivos, diseñados para escuchar y transmitir información, pueden aumentar la productividad, pero también introducen riesgos incuantificables. Nuestra propia investigación demostró recientemente que el Amazon Echo es susceptible a ataques aéreos. Amazon ha corregido las vulnerabilidades, pero este hallazgo demuestra lo fácil que es que un dispositivo comprometido conduzca a la filtración de información confidencial.
En resumen, el Internet de las Cosas está cambiando radicalmente el panorama de la ciberseguridad. Las empresas deben estar preparadas para enfrentar los desafíos futuros con nuevas estrategias y herramientas que aborden las vulnerabilidades de los dispositivos de IoT y la creciente amenaza de la ingeniería social. La seguridad debe ser una prioridad desde el diseño y la implementación de los dispositivos hasta la capacitación continua de los empleados. Solo así podremos proteger nuestros datos y mantenernos un paso adelante de los ciberdelincuentes.
Fuente del artículo: HBR
