Por Vladimir Villa

20 años en la industria de ciberseguridad nos han permitido experimentar transformaciones relevantes en compañías de base tecnológica. Antes, se consideraba que solo las grandes  compañías se preocupaban por la seguridad de sus sistemas. Hoy, cualquier compañía con presencia en internet debe conocer los riesgos asociados a su tecnología. 

El mayor cambio que reconocemos es la gestión del riesgo tecnológico. En el pasado, las organizaciones se enfocaban en la reacción y mitigación de incidentes. Hoy por hoy, se aborda este riesgo desde la prevención y proactividad. Es decir, ¿cómo pueden asegurarse las empresas que sus sistemas son seguros? Prueban la seguridad de estos sistemas desde cuando inician su construcción y durante todo su ciclo de vida.

Sigue la información sobre la economía y el mundo de los negocios en Forbes Centroamérica

Otro cambio significativo es cómo afrontan las empresas los incidentes cibernéticos. Si existía un incidente dentro de una compañía, era posible que no se comunicara a los actores afectados y, por lo tanto, no existían consecuencias mayores.

Hoy la regulación obliga a las compañías a seguir estándares que protejan activos propios y de sus usuarios para poder operar o evitar penalidades. Las consecuencias han sido positivas. Las compañías son más transparentes y por ende los niveles de seguridad de los sistemas van en aumento. 

Los retos

Existen dos retos fundamentales que se presentaron en las últimas dos décadas. El primero, es el movimiento a la nube por parte de las compañías, y el segundo, es la educación para la toma de decisiones acertadas en ciberseguridad.

El uso del servicio de la nube trae retos en cuanto a la seguridad de los sistemas y sus activos. Al contrario de lo que se cree, la responsabilidad principal de la protección de los datos corporativos en la nube no corresponde al proveedor del servicio, sino al propio cliente u organización. Las empresas no solo deben preocuparse por el riesgo de perder datos o la propiedad intelectual de la información, sino también por la eliminación o modificación de sus recursos alojados en la nube. Ya para 2022, alrededor del 95% de los fallos de seguridad en la nube ocurrirán por errores de los clientes.

Le invitamos a seguir nuestra página de Facebook

Por otro lado, debido a la evolución constante de la industria de ciberseguridad, entendimos que quienes toman decisiones necesitaban tener mejores herramientas para decidir óptimamente las soluciones que protegen sus sistemas y evaluarlas en términos comparables.

El reto entonces ha sido enseñar los indicadores claves, los criterios para evaluar tecnología y comunicar que la tecnología no es suficiente para solucionar todas las problemáticas en ciberseguridad. Existe un problema de precisión en la tecnología de detección y el mercado debe entender que es insuficiente tener tecnología para la detección. Es necesario incluir el conocimiento de un experto para lograr identificar todas las vulnerabilidades y poder protegerse de ataques.

¿Vulnerabilidades comunes o su impacto?

Hemos sido testigos de incontables situaciones y escenarios de ataques e identificado vulnerabilidades de todo nivel de criticidad. Hablar de ataques o vulnerabilidades más comunes no necesariamente significa mayor impacto para una compañía.

Existen algunas muy conocidas como la “Inyección SQL”, que tienen alto impacto y criticidad, pero también son comunes otras como el uso de software con vulnerabilidades conocidas; algoritmos de cifrado inseguro; falta en la validación de datos; uso de canales inseguros; o tener información confidencial no cifrada. 

Descarga gratis la edición impresa de Forbes Centroamérica

La clave aquí es que las empresas sean capaces de identificar todas las vulnerabilidades, que se identifiquen desde el inicio y que éstas puedan remediarse. Como consecuencia, las compañías podrán tomar mejores decisiones de riesgo.

*El autor es director ejecutivo (CEO) de Fluid Attacks.

Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes Centroamérica.