Los cinco errores que más cometen las empresas en ciberseguridad

Phising, malware, click-jacking… son palabras que pueden resultar extrañas para muchos directivos y empresarios, pero son los nombres que reciben algunos tipos de ciberataques que pueden repercutir a las empresas en forma de pérdida de información, intrusiones en los sistemas informáticos o daños reputacionales. A continuación, Diego Bueno, director responsable del área de Information, Protection and Business Resilience de KPMG en España identifica los errores que más cometen las empresas en ciberseguridad y resume las posibles soluciones.

Error 1: “Tenemos que lograr una seguridad al 100%”

¿Qué dice el experto?:Una seguridad al 100% no es ni viable ni el objetivo adecuado

La seguridad total es una quimera. “Toda organización más o menos conocida y de cierto tamaño será en algún momento, lamentablemente, objeto de un robo de información”, señala Diego Bueno. “Una vez comprendido esto habrá que crear una estrategia de defensa, basada en la prevención y en la respuesta. Tras un ataque cibernético, que puede variar desde el robo de información hasta un ataque que interrumpa los sistemas básicos, una organización debe ser capaz de minimizar las pérdidas y subsanar las vulnerabilidades”, puntualiza.

Error 2: “Cuando invertimos en las mejores herramientas tecnológicas, estamos a salvo”

¿Qué dice el experto?: La seguridad cibernética eficaz depende menos de la tecnología de lo que se cree

Las herramientas que ofrecen los proveedores especializados son imprescindibles para una seguridad básica, pero no son la base de una política y estrategia sólida en lo que respecta a seguridad cibernética. Esta estrategia no debe implicar solo al departamento de IT o informática, sino al conjunto de trabajadores de la empresa que deben conocer las amenazas a las que se enfrentan. “El factor humano es siempre el eslabón más débil con relación a la seguridad. Invertir en las mejores herramientas solo dará sus frutos cuando la gente entienda que es responsable de proteger la seguridad de sus redes. Por eso, es fundamental la comunicación de estos riesgos a la plantilla y cambiar la cultura interna”, apunta Diego Bueno.

 Error 3: “Nuestras armas tienen que ser mejores que las de los hackers

¿Qué dice el experto?: La política de seguridad debe venir determinada principalmente por los objetivos de la empresa, no por los de los autores de los ataques

“Los directivos deben conocer las técnicas más avanzadas en la lucha contra la ciberdelincuencia (los delincuentes están constantemente desarrollando nuevos métodos y tecnologías y la defensa va, por definición, siempre un paso por detrás), pero no deberían dejar que este hecho los distraiga de proteger sus activos más importantes”, señala Diego Bueno. La base de la inversión y de la asignación de recursos debería ser construir una buena estrategia de ciberseguridad.

Error 4: “El cumplimiento en materia de seguridad cibernética consiste en una supervisión eficaz”

¿Qué dice el experto?: La capacidad de aprender es tan importante como la capacidad de supervisar

Solo una organización capaz de entender los avances y las tendencias en los incidentes de ciberseguridad y de utilizar estas percepciones para documentar su política y estrategia tendrá éxito a largo plazo. “La práctica demuestra que la ciberseguridad se basa en gran medida en el cumplimiento normativo, algo comprensible, porque muchas organizaciones tienen que adaptarse a una legislación. Sin embargo, considerar el cumplimiento normativo como el objetivo en última instancia de la política de seguridad cibernética es contraproducente. Las empresas deben evaluar los incidentes que se produzcan de manera que se puedan extraer lecciones y compartir estas enseñanzas con toda la organización”, reseña Diego Bueno.

Error 5: “Necesitamos contratar a los mejores profesionales para defendernos de la ciberdelincuencia”

¿Qué dice el experto?: La seguridad cibernética no es un departamento, sino una actitud

La seguridad cibernética suele considerarse a menudo responsabilidad de un departamento de profesionales especializados, pero la dificultad real radica en lograr que se convierta en un enfoque generalizado. “Esto significa, por ejemplo, que la ciberseguridad debería formar parte de la política de Recursos Humanos y en algunos casos incluso debería estar vinculada a la retribución”, cuenta Diego Bueno.

Si quieres saber más sobre ciberseguridad puedes consultar kpmgciberseguridad.es