Las empresas confían demasiado en el software para combatir las amenazas digitales. En su lugar, deberían, aumentar la inversión en habilidades humanas de riesgo digital y adentrarse en los seguros cibernéticos.
Las empresas han volcado miles de millones de dólares en tecnología y software que promete mantener alejadas las amenazas cibernéticas. La inversión global total en software de antivirus, por ejemplo, alcanzará US$3.77 billones en 2019, según el grupo de investigación de mercado ARC[1].
El software sin dudas tiene un rol importante en el combate contra las amenazas digitales, pero otras áreas han sido descuidadas. Reveladoramente, los líderes de negocios encuestados en el International Business Report (IBR) de Grant Thornton dicen que la confianza excesiva en el software es su mayor debilidad a la hora de manejar amenazas cibernéticas y de privacidad. Combinándolas, definimos a las amenazas de ciberseguridad y de privacidad de la información como amenazas digitales.
Es alentador que los líderes de negocio reconozcan esto. Pero ahora deben actuar, mejorando sus habilidades digitales y la conciencia de ciberseguridad de todos sus empleados. También deberían explorar los seguros de ciberseguridad.
Esto no significa desembolsar más dinero. En muchos casos, podrán reducir el gasto en software a medida que refuerzan sus capacidades humanas y provisiones de seguro. Reveladoramente, ARC predice que los ingresos del mercado de los software de antivirus se reducirán en un -1.2% de tasa de crecimiento anual compuesto durante los próximos 5 años.
Las empresas pueden haber sofisticado su software de ciberseguridad, pero eso no prevendrá el error humano que se encuentra detrás de muchas filtraciones. Después de todo, es la fuerza de trabajo humana quien responde a los emails de phishing e instala software no autorizado.
Pero las empresas gastan mucho más en software de ciberseguridad que en educar a sus empleados, así que no sorprende que vean la confianza excesiva en la tecnología como una desventaja clave en el manejo del riesgo digital.
Pueden hacer frente a esto aumentando la conciencia de ciberseguridad de todos los empleados. ¿Pero cómo? Después de todo, las empresas han realizado webinars sobre ciberseguridad y programas de capacitación obligatorios durante años, sin embargo el error humano continúa exponiéndolos a los ciberataques. Una nueva forma de educación es necesaria.
Christos Makedonas, líder de riesgo digital en Grant Thornton Chipre, dice que un formato de capacitación más corto podría ayudar. “Nadie tiene tiempo de mirar horas de video,” dice. “Deberían acortarse a un máximo de dos minutos. También necesita recordatorios visuales – como banners en la oficina y mensajes en las pantallas – para recordarle las mejores prácticas a las personas.
“Las empresas deberían similar intentos de phishing, y se podría capacitar más a los empleados que responden a ellos. Hemos visto que estos tipos de programas de entrenamiento son mucho más exitosos que los webinars tradicionales.”
Las empresas necesitan entender dónde son vulnerables a los ciberataques y a las filtraciones de información antes de invertir en software preventivo. Esto requiere de habilidades especializadas que la mayoría de las empresas no tiene.
“Las empresas necesitan de conjuntos de habilidades relacionadas a la privacidad que les ayuden a visualizar su información y entender sus requerimientos regulatorios – especialmente en un contexto en la nube,” dice Mike Harris, socio de servicios de ciberseguridad en Grant Thornton Irlanda. “También necesitan habilidades de cibertecnología alrededor de las tecnologías que están usando.
“Por ejemplo, si está usando servicios de nube proveídos por Amazon o Azure, necesita tener las habilidades de seguridad internas para descifrar qué harán y qué no en términos de ciberseguridad. Ese componente de las habilidades suele pasarse por alto.”
Muchas empresas han invertido mucho en tecnologías analíticas avanzadas de ciberseguridad que ayudan a identificar nuevas amenazas y vulnerabilidades.
Pero serán tan buenas como la fuerza de trabajo que pueda interpretar los resultados e implementar los cambios correspondientes.
“Muchas personas ven a la tecnología como una fórmula mágica, pero no lo es,” dice James Arthur, socio y líder de consultoría cibernética en Grant Thornton Reino Unido. “Muchas empresas gastan mucho dinero en software de ciberseguridad impulsado por inteligencia artificial, o de analíticas de comportamiento, el cual puede ser muy útil en algunas circunstancias, pero sin embargo normalmente se necesita una enorme inversión de tiempo humano en capacitación para asegurarse de que nos traiga los resultados que queremos. Luego se necesita de un humano al final que pueda mirar ese resultado y hacer o aprobar los cambios.”
“Sólo hay dos tipos de empresas: las que fueron hackeadas y las que lo serán. E incluso ambas están convergiendo en una sola categoría: empresas que fueron hackeadas y volverán a serlo.”
Esas son palabras del anterior director del FBI, Robert Mueller, en 2012.
Su mensaje es claro – y es igual de relevante hoy que como lo fue hace siete años: una filtración es inevitable. Esto es una fuerte razón para invertir en un seguro para mitigar el impacto de los ciberataques, más que sólo en un software que los prevenga.
“Cualquier programa de riesgo digital razonable tiene que tener un elemento de detección, respuesta y cobertura, porque los incidentes cibernéticos sucederán,” dice Mike Harris. “Vemos un crecimiento en la adopción de seguros que cubren ciberataques y filtraciones de información. Pero aunque sea imperativo y su uso esté creciendo, la mayoría de los negocios todavía no tienen este tipo de seguro.”
Las empresas podrían asumir que su seguro general cubre los ciberataques. Pero se llevarían una fea sorpresa. Por ejemplo, la aseguradora Hiscox está disputando una demanda de la firma legal DLA Piper – probablemente de varios millones de libras – basada en que no tenía una política específica de ciberseguridad.
Pero ni siquiera las empresas con cobertura cibernética no pueden ponerse cómodas. Las aseguradoras pueden rehusarse a pagar si ven el ataque como un acto de guerra, lo cual podría debatirse si fuera iniciado por agentes apoyados por el estado.
“La cobertura es genial, pero el enemigo está en el detalle,” explica James Arthur. “Hemos visto aseguradoras intentando discutir para librarse de pagar porque el ataque se rastreó hasta un grupo estatal.” Mucho malware puede relacionarse con algún tipo de actividad estatal, así que las empresas realmente necesitan ver los detalles.
Además, las políticas cibernéticas pueden contener provisiones que requieran a las empresas el instalar actualizaciones y parches frecuentemente. El incumplimiento podría resultar en que los aseguradores no paguen en caso de un incidente.
“Algunas políticas le requieren a las empresas mantener su administración de los parches mucho más al día de lo que están acostumbradas – o de lo que quisieran, dada la disrupción que puede causar,” agrega Arthur.
Las empresas deben entonces examinar los detalles de su cobertura cibernética cual forense, para asegurarse de que están cubiertas y de que pueden cumplir con sus requerimientos.
El caso para la cobertura contra el riesgo digital ha crecido, pero la sofisticación de las ofertas de seguros no lo ha hecho. Esta es la opinión de los líderes de negocios encuestados en el IBR de Grant Thornton. Reveladoramente, más de dos tercios cree que la industria de los seguros necesita mejorar su oferta sobre riesgos de la privacidad.
“El mercado de los seguros contra filtraciones no es para nada maduro comparado con otros mercados de seguros,” explica Christos Makedonas. “A las aseguradoras les está costando evaluar los riesgos porque las empresas tienen diferentes vulnerabilidades. Dos empresas del mismo sector y del mismo tamaño pueden tener distintas culturas y usar tecnologías distintas, lo cual hace muy difícil ponerle precio al riesgo.
“Pero es muy importante para las empresas el explorar esto y trabajar con las aseguradoras para impulsar el Mercado hacia Adelante.”
Estas recomendaciones deben implementarse en el contexto del ambiente de riesgo digital específico de la empresa. Entonces el primer paso para los líderes de negocio es entender sus vulnerabilidades y amenazas específicas. Sólo así pueden implementar las tecnologías más relevantes, iniciativas de capacitación y cobertura del seguro.
______________________________
Fuentes:
[1] Global Antivirus Software Market Growth (Status and Outlook) 2019-2024, Analytical Research Cognizance (ARC), February 2019