En la actualidad, los ataques cibernéticos son una preocupación constante para las empresas y organizaciones de todo el mundo. Los ejecutivos, incluso aquellos que se consideran aislados de esta problemática, están cada vez más conscientes de la importancia de la ciberseguridad. Los titulares de noticias están llenos de informes sobre brechas de seguridad informática, y la conciencia sobre este tema ya no es un problema. Incluso mi propia madre me envía recortes de periódico sobre ciberseguridad. Los buenos ejecutivos dedican tiempo a comprender los riesgos en sus organizaciones y desempeñan un papel activo en la implementación de prácticas de ciberseguridad, si no por otra razón que intentar evitar aparecer en las noticias de la noche y evitar el impacto en los precios de las acciones. Los consejos de administración también han aumentado su interés, ya que reconocen que la gestión del riesgo cibernético y las regulaciones requieren su supervisión tanto como cualquier otro riesgo para el negocio. Pero sin importar cuánta atención (o presupuesto) se dedique a la ciberseguridad, los ejecutivos deben entender que ser hackeados no es cuestión de “si” sino de “cuándo”. Esta es la nueva normalidad en ciberseguridad y cambia el enfoque de la preparación y la gestión del riesgo.

En términos de ciberseguridad, existen dos conceptos clave: el tiempo de protección y el tiempo de exposición. El tiempo de protección se refiere a la capacidad colectiva de las políticas de seguridad, los controles, las personas y los procesos para identificar y proteger la confidencialidad, integridad y disponibilidad de la información sensible y los servicios de TI durante un cierto período de tiempo y contra amenazas específicas. Podemos pensar en el tiempo de protección de manera más simple como una caja fuerte a prueba de fuego que compramos para nuestra casa y que puede proteger el dinero en efectivo hasta 400 grados Celsius durante 30 minutos. Sabemos qué puede proteger (dinero en efectivo), durante cuánto tiempo (30 minutos) y contra qué amenaza (un incendio a 400 grados). Por otro lado, el tiempo de exposición reconoce el hecho de que vivimos en un mundo lleno de hackers que mejoran su oficio cada día. Este tiempo está compuesto por el tiempo que lleva detectar, responder y recuperarse de un ciberataque que intenta penetrar las protecciones descritas anteriormente. En nuestra analogía, sería equivalente a un sistema de alarma para el hogar que puede detectar un incendio y contactar a un centro de llamadas, el cual intenta confirmar con el propietario si la alarma es legítima y envía al departamento de bomberos para extinguir el fuego. Idealmente, el tiempo de exposición es menor que el tiempo de protección, para evitar la pérdida de confidencialidad, integridad o disponibilidad.

En resumen, la ciberseguridad se ha convertido en una preocupación constante para las empresas y organizaciones. Los ejecutivos deben entender que ser hackeados no es una cuestión de “si” sino de “cuándo”. Es fundamental comprender los conceptos de tiempo de protección y tiempo de exposición, y cómo gestionarlos de manera efectiva. La nueva normalidad en ciberseguridad requiere una preparación adecuada y una gestión del riesgo que tenga en cuenta estos factores. Solo así podremos proteger la confidencialidad, integridad y disponibilidad de nuestra información sensible y servicios de TI.

Fuente del artículo: Forbes