Estos tiempos difíciles que nos está tocando vivir a consecuencia de un maldito virus que ha puesto en jaque la salud de las personas, también son testigos de otros virus maliciosos que comprometen la salud de las organizaciones. Estamos viviendo en los últimos tiempos un incremento preocupante de ataques de ciberseguridad, sufridos por entidades a nivel mundial, algunas de primer nivel, tanto en el sector público como en el sector privado. A sabiendas de que nunca existe la protección total, estas organizaciones afectadas, en la mayoría de los casos, tendrían desplegadas políticas, normativas y procedimientos y habrían invertido en equipamientos y en recursos buscando la defensa ante los agentes del mal. Entonces, ¿qué es lo que falla?
Cuando estalló la pandemia todos recibimos comunicaciones de la mayoría de nuestros proveedores de servicios con mensajes tranquilizadores indicando que habían activado sus planes de continuidad de negocio y que entendían que la continuidad de su servicio estaba garantizada. Primer error: la autocomplacencia. ¿De verdad tenían contemplada la contingencia de pandemia en sus planes, con salvaguardas previstas ante una letalidad alta o una incidencia severa que mermara la capacidad operativa del personal? ¿o en el mejor de los casos lo que tenían era una política organizada de teletrabajo que resultaba ser útil en esta situación porque esta pandemia permitía mantener alta la capacidad operativa del personal? ¿o sencillamente se disponía de portátiles para entregar a parte de los empleados y el resto hacía uso de sus ordenadores personales y todo ello se gestionaba con mucha voluntad e implicación por parte de todos? Todos los estudios apuntan a que este último ha sido el patrón más extendido.
De la noche a la mañana el teletrabajo pasó a formar parte de nuestras vidas, ensanchó el perímetro de seguridad de las empresas, y puso en el eje de la diana al personal, más desprotegido que nunca por estar aislado y ubicado en un territorio desconocido y hostil.
Por otra parte, la pandemia forzó a acelerar los planes de digitalización de muchas empresas, algunas de las cuales incluso afirman haber avanzado en este tiempo lo que esperaban haber recorrido en varios años. Pero cuando el time to market es el motor principal que azuza a la tecnología a apurar los plazos es frecuente descuidar otros aspectos que favorecen una mayor exposición al riesgo.
Además, la pandemia ha acelerado también la adopción del modelo de computación en la nube, donde se ha dado cabida a infinidad de servicios digitales. Las cifras de crecimiento de los tres gigantes tecnológicos, líderes en este sector, son espectaculares. Y quizás en esta brusca transición y alocada carrera a la búsqueda de aprovisionamiento rápido y fácil de servicios y de recursos de computación es posible que, en muchos casos, haya prevalecido una falsa sensación de seguridad, asumiendo que la protección es responsabilidad exclusiva de estos proveedores de nube y de su cadena de subcontrataciones.
Toda esta situación ha abierto brechas de seguridad y ha creado el caldo de cultivo idóneo que se ha traducido en una escalada sin precedentes del número de incidentes. Los hackers llevan siempre la delantera, con ataques cada vez más dirigidos, más personalizados, más sofisticados y frecuentes.
Entre tanta zozobra, al menos un dato para la esperanza, sin que ello nos invite a bajar la guardia: España ocupa el séptimo puesto en el ranking mundial del Global Cybersecurity Index (GCI), que mide el compromiso de los países con la ciberseguridad.
Parece claro, en cualquier caso, que las defensas tradicionales, muy apoyadas en tecnología son necesarias, pero no suficientes. Es evidente que, más allá de aspectos técnicos, se hace necesario intensificar la formación y la concienciación de nuestros empleados.
Como mantra que siempre se repite, ellos son el eslabón más débil de la cadena y la puerta de entrada de gran parte de los incidentes de seguridad. Hay que perseverar para llegar a inocular en la cultura de la organización el virus de la sensibilización por las medidas de protección y conseguir que estén presentes en todas las fases del ciclo de vida de nuestros productos y servicios. Si logramos que el personal entienda que esto no es competencia exclusiva del departamento TI y que su implicación es muy necesaria en un modelo de responsabilidad compartida, habremos recorrido una parte importante del camino, porque la seguridad debe ser un compromiso de todos.
