Ciberseguridad, cultura más que dinero

Los ciberataques siguen al alza, y México es uno de los blancos favoritos de la delincuencia, debido a lo poco que se invierte en seguridad, pero más por la poca cultura que hay para protegerse. La palabra clave en esta lucha es cultura, pues, aunque un presupuesto más grande tiene sus numerosos beneficios, eso no escala los equipos mágicamente ni frustra las amenazas.

El panorama actual de la ciberseguridad puede describirse como poco alentador para muchas empresas e instituciones de gobierno, y sólo en las últimas semanas se ha demostrado cuán frecuentes, devastadores y de largo alcance pueden ser los ataques modernos. Los casos están muy presentes: Lotería Nacional, Talma, Colonial Pipeline, SolarWinds entre muchas otras en el país y el resto del mundo.

Algo importante a tomar en cuenta es que, según una investigación de McKinsey & Company, no existe una correlación directa entre el gasto en ciberseguridad y el éxito general de un programa. Aunque se justifica la intención de mejorar las defensas cibernéticas, en el pasado ha habido poco progreso con el aumento de los presupuestos para capacitar a los trabajadores de la iniciativa privada o del gobierno. Es hora de aprovechar nuevos recursos, más allá del efectivo, para abordar estos problemas de frente.

Un ejemplo de ellos es bastante visible para nosotros: Estados Unidos ha profundizado constantemente el gasto para prioridades de ciberseguridad a medida que los ataques estatales como SolarWinds o Colonial Pipeline ponen en riesgo su seguridad nacional. La administración de Joe Biden distribuyó recientemente su orden ejecutiva de ciberseguridad, la cual tiene como objetivo proteger a las agencias federales, pero también asegurar a las empresas privadas que contratan con el gobierno en cualquier capacidad.

Este desarrollo de políticas mejoradas es un cambio muy bienvenido y también uno que se debe a la cadena de suministro federal desde hace mucho tiempo. La orden también exige mayores estándares para el desarrollo de software, enfatiza la transparencia y la notificación de posibles ataques y la realización de investigaciones sistemáticas de las infracciones exitosas. Todos estos son pasos en la dirección correcta y un diferenciador del statu quo cuando se defiende una nación contra ciberataques sofisticados.

Las amenazas no discriminan por sector, entonces, ¿por qué los equipos de ciberdefensa no trabajan regularmente de manera coordinada? La respuesta es sencilla: No se capacita al personal de una empresa o gobierno, y menos hoy en día que se trabaja desde casa por temas de pandemia. Invertir en capacitación es primordial para fortalecer el trabajo de protección.

Otra forma de lograr éxito en contra de la delincuencia es la cultura del trabajo conjunto entre la iniciativa privada y el gobierno. Al restablecer la confianza y el interés del público, aprovechando el talento existente sin explotar y prescribir la capacitación más reciente para los equipos cibernéticos, los profesionales de la industria dentro del sector público y privado pueden aumentar las probabilidades de ganar esta batalla contra el cibercrimen.

En lugar de responder de manera reactiva a los ataques caso por caso, el gobierno federal y las empresas privadas pueden utilizar todos estos recursos para trabajar juntos de manera proactiva para prevenir los ciberataques. Por ello es primordial que no se escondan las vulneraciones ni en la esfera privada ni pública, como sucedió con la Lotería Nacional, y menos creer que se salió victorioso por no pagar un rescate.

Al desarrollar un proceso de trabajo de prevención pensando en una cultura de ciberseguridad que involucre la capacitación de todos los puestos de trabajo, desde las personas que laboran en áreas de limpieza o seguridad hasta los alto puestos directivos (todos se conectan a las redes al interior de una compañía), sumado a una política de compartición de información entre la IP y el gobierno, las cosas cambiarían rápidamente.

Proporcionar los recursos más actualizados para mejorar las habilidades de los equipos existentes en una empresa o instancia de gobierno es un componente crítico para construir una defensa sólida. Si la historia reciente nos ha enseñado algo, es que la industria de la ciberseguridad en su conjunto, y especialmente el gobierno federal, no puede seguir abordando la ciberseguridad como lo ha hecho en los últimos años. El gobierno nunca se adelantará al panorama de amenazas cada vez mayores hasta que se ofrezca algo más que fondos adicionales como una posible solución a los problemas persistentes que plagan la industria. La mejor defensa es una ofensiva fuerte y el gobierno federal y la IP deben comenzar a dar un ejemplo de trabajo conjunto que de como resultado el desarrollo de una cultura de prevención.