Las empresas confían demasiado en el software para combatir las amenazas digitales. En su lugar, deberían, aumentar la inversión en habilidades humanas de riesgo digital y adentrarse en los seguros cibernéticos.
Las empresas han volcado miles de millones de dólares en tecnología y software que promete mantener alejadas las amenazas cibernéticas. La inversión global total en software de antivirus, por ejemplo, alcanzará US$3.77 billones en 2019, según el grupo de investigación de mercado ARC .
El software sin dudas tiene un rol importante en el combate contra las amenazas digitales, pero otras áreas han sido descuidadas. Reveladoramente, los líderes de negocios encuestados en el International Business Report (IBR) de Grant Thornton dicen que la confianza excesiva en el software es su mayor debilidad a la hora de manejar amenazas cibernéticas y de privacidad. Combinándolas, definimos a las amenazas de ciberseguridad y de privacidad de la información como amenazas digitales.
Es alentador que los líderes de negocio reconozcan esto. Pero ahora deben actuar, mejorando sus habilidades digitales y la conciencia de ciberseguridad de todos sus empleados. También deberían explorar los seguros de ciberseguridad.
Esto no significa desembolsar más dinero. En muchos casos, podrán reducir el gasto en software a medida que refuerzan sus capacidades humanas y provisiones de seguro. Reveladoramente, ARC predice que los ingresos del mercado de los software de antivirus se reducirán en un -1.2% de tasa de crecimiento anual compuesto durante los próximos 5 años.
Impulsar la conciencia, pulir las habilidades
Nuevas formas de generar conciencia
Las empresas pueden haber sofisticado su software de ciberseguridad, pero eso no prevendrá el error humano que se encuentra detrás de muchas filtraciones. Después de todo, es la fuerza de trabajo humana quien responde a los emails de phishing e instala software no autorizado.
Pero las empresas gastan mucho más en software de ciberseguridad que en educar a sus empleados, así que no sorprende que vean la confianza excesiva en la tecnología como una desventaja clave en el manejo del riesgo digital.
Pueden hacer frente a esto aumentando la conciencia de ciberseguridad de todos los empleados. ¿Pero cómo? Después de todo, las empresas han realizado webinars sobre ciberseguridad y programas de capacitación obligatorios durante años, sin embargo el error humano continúa exponiéndolos a los ciberataques. Una nueva forma de educación es necesaria.
Christos Makedonas, líder de riesgo digital en Grant Thornton Chipre, dice que un formato de capacitación más corto podría ayudar. “Nadie tiene tiempo de mirar horas de video,” dice. “Deberían acortarse a un máximo de dos minutos. También necesita recordatorios visuales – como banners en la oficina y mensajes en las pantallas – para recordarle las mejores prácticas a las personas.
“Las empresas deberían similar intentos de phishing, y se podría capacitar más a los empleados que responden a ellos. Hemos visto que estos tipos de programas de entrenamiento son mucho más exitosos que los webinars tradicionales.”
Primero identifique vulnerabilidades, luego invierta
Las empresas necesitan entender dónde son vulnerables a los ciberataques y a las filtraciones de información antes de invertir en software preventivo. Esto requiere de habilidades especializadas que la mayoría de las empresas no tiene.
“Las empresas necesitan de conjuntos de habilidades relacionadas a la privacidad que les ayuden a visualizar su información y entender sus requerimientos regulatorios – especialmente en un contexto en la nube,” dice Mike Harris, socio de servicios de ciberseguridad en Grant Thornton Irlanda. “También necesitan habilidades de cibertecnología alrededor de las tecnologías que están usando.
“Por ejemplo, si está usando servicios de nube proveídos por Amazon o Azure, necesita tener las habilidades de seguridad internas para descifrar qué harán y qué no en términos de ciberseguridad. Ese componente de las habilidades suele pasarse por alto.”
La tecnología analítica avanzada necesita de mentes analíticas avanzadas
Muchas empresas han invertido mucho en tecnologías analíticas avanzadas de ciberseguridad que ayudan a identificar nuevas amenazas y vulnerabilidades.
Pero serán tan buenas como la fuerza de trabajo que pueda interpretar los resultados e implementar los cambios correspondientes.
“Muchas personas ven a la tecnología como una fórmula mágica, pero no lo es,” dice James Arthur, socio y líder de consultoría cibernética en Grant Thornton Reino Unido. “Muchas empresas gastan mucho dinero en software de ciberseguridad impulsado por inteligencia artificial, o de analíticas de comportamiento, el cual puede ser muy útil en algunas circunstancias, pero sin embargo normalmente se necesita una enorme inversión de tiempo humano en capacitación para asegurarse de que nos traiga los resultados que queremos. Luego se necesita de un humano al final que pueda mirar ese resultado y hacer o aprobar los cambios.”
Cinco recomendaciones para crear un enfoque balanceado para el manejo del riesgo digital
1. Los enfoques tradicionales a las capacitaciones cibernéticas no están funcionando. Las empresas deberían desarrollar videos regulares más cortos y similar intentos de phishing para educar mejor a sus empleados.
2. Las empresas necesitan capacidad para identificar y visualizar sus vulnerabilidades digitales. Necesitan reclutar personas con habilidades especializadas que complementen el software de ciberseguridad. Esto les asegurará que su inversión en software preventivo está enfocada en las áreas correctas.
3. Todas las empresas sufrirán un ciberataque – no importa cuánto inviertan en software preventivo. Una cobertura general puede no cubrir ciberataques, así que las empresas deben explorar seguros específicos de riesgo digital que cubran ciberataques y filtraciones de información.
4. Pero el Mercado de seguros digitales es relativamente inmaduro. Entonces, las empresas deberían pasar tiempo educando a las aseguradoras acerca de sus vulnerabilidades específicas para se le ponga un precio efectivo al riesgo.
5. Una vez contratado el seguro, las empresas deben ser cuidadosas sobre la adhesión a los términos y condiciones. El no instalar actualizaciones podría anular la cobertura.
Contacto:
Martín Bal
Grupo Martín Bal
T 15-5-744-9498
mbal(at)grupomartinbal.com