¿Es necesario invertir en seguridad de la información?
Argumentos sobre por qué invertir en seguridad de la información es una necesidad y no un lujo para empresas de cualquier tamaño.
“Tranquilo, somos una empresa chica. Solo hackean a las grandes”. “No te preocupes, a nosotros nunca nos va a pasar, si no somos un banco”. “Ya tenemos antivirus, ¿para qué más?”. “No tenemos información importante que pueda ser de interés de terceros”. Todo especialista en ciberseguridad ha escuchado en algún minuto alguna de estas excusas al presentar un presupuesto.
Con la expansión que últimamente han tenido la tecnología y las comunicaciones, el mundo empresarial ha optado por mover gran parte de sus operaciones al mundo digital, y con ello gran parte de la información crítica que es la base de cada negocio. Esto, por supuesto, ha traído consigo un aumento exponencial de los ciberataques que, para las empresas, implican riesgos tanto económicos como reputacionales.
Estos ciberataques los podemos separar de la siguiente manera:
Ataques internos, en los cuales personas de la misma organización, voluntaria o involuntariamente, eliminan, modifican y/o desclasifican la información de la empresa; y
Ataques externos, los cuales pueden ser a su vez focalizados o no focalizados. En general, en su gran mayoría este tipo de ataques son no focalizados, es decir, no van destinados a una empresa específica, sino que se propagan a través de la red, intentando infectar la mayor cantidad de dispositivos posibles (como en los casos de phishing y ransomware).
Hay que tener presente que en este último tipo de ataques (no focalizados) un atacante no se preocupa del rubro ni del tamaño que podrían tener sus potenciales víctimas al momento de actuar. Los malwares (ej. virus, troyanos, etc.) se liberan a la red con la esperanza de que alguien caiga. Si uno de estos resulta ser una empresa chica, sin información “interesante”, no todo está perdido. Sus servidores pueden ser transformados en “bots zombies” con los cuales realizar otros ataques, por ejemplo.
Ahora, para las empresas que son víctimas de un ciberataque, las consecuencias son principalmente dos: pérdidas económicas y afectación a la reputación de la empresa. En lo que respecta a las primeras, si la empresa cuenta con un sistema informático que no puede ser restaurado inmediatamente, la inoperatividad de la compañía podría acarrear pérdidas millonarias. Además, en caso de que se filtre información privada de los clientes, cada vez son más las regulaciones que aumentan las sanciones para estos casos.
Ahora bien, con independencia de las pérdidas económicas que la empresa pueda experimentar, los efectos en la reputación del negocio pueden ser aún peores, afectando a la compañía por años.
En consecuencia, invertir en seguridad de la información no es un lujo, sino una necesidad que permite proteger la información crítica de la empresa y sus clientes.
Una recomendación es que las empresas inviertan como mínimo en: la capacitación de su personal, implementar un programa de seguridad de la información y un sistema de gestión de seguridad de la información, ya que estos son los pilares fundamentales para proteger la información de la empresa.
Autor: Bastián Riveros M.