No son sólo los «grandes jugadores» con presupuestos de seguridad a gran escala los que deberían invertir en nuevas habilidades en sus equipos. La seguridad debería ser una prioridad de negocio en cada industria y la falta de financiación no es excusa. De hecho, recortar los fondos de seguridad puede conducir a una brecha de seguridad mucho más cara más adelante. A continuación se presentan las 5 excusas más comunes (y frustrantes) que el autor Dale Meredith escucha de las empresas a la hora de justificar sus insuficientes presupuestos de seguridad cibernética.
1. Somos una empresa demasiado pequeña para ser un objetivo
Esta mentalidad te meterá en problemas, ya que los atacantes son bastante oportunistas a la hora de descubrir objetivos. Si ven un punto débil, sin importar el tamaño de la compañía, su reacción pavloviana es explotarlo. Fin de la historia.
En la reciente infracción de un importante minorista, los atacantes obtuvieron primero acceso mediante el phishing de un empleado de un tercer proveedor que mantenía los sistemas de HVAC de la empresa. Ese correo electrónico de phishing luego instaló un robot de robo de contraseñas que expuso sus credenciales de inicio de sesión en la red de la empresa. El principal error de la organización fue no segmentar adecuadamente sus redes para protegerse, pero el punto aquí es que los atacantes pueden o no haber sabido que el vendedor llevaría a acceder al objetivo por sí mismo. Por lo tanto, aunque sea «demasiado pequeño», ¿qué pasa con sus socios o clientes?
2. Tenemos un cortafuegos para protegernos
Aunque los cortafuegos son necesarios, no nos protegen de nosotros mismos. ¿Un firewall detuvo a WannaCry? Las brechas hoy en día son causadas principalmente por acciones como alguien haciendo clic en un enlace malicioso en un correo electrónico, alguien conectando una unidad USB infectada o incluso vulnerabilidades de software en los sistemas operativos. Lo que es más, los firewalls son tan buenos como su última actualización, y es sorprendente la cantidad de empresas que piensan: «está funcionando ahora, ¿por qué necesito actualizarlo o pagar por un contacto de servicio?».
3. Confiamos en nuestros empleados
Yo también confío en mis empleados. Pero también sé que la gente comete errores. Además hay esos raros casos de «hackers de fin de semana» que quieren ver cómo funcionan las cosas, o casos en los que los empleados de alguna manera se sienten «demasiado restringidos» por su actual nivel de acceso. Cuidado con los empleados descontentos que pueden querer servir un plato frío de venganza al dejar la compañía o incluso llevar los recursos de la compañía a un futuro trabajo.
4. La actualización nos costará demasiado
Aunque la seguridad cibernética puede ser cara, no puedes poner una cifra en dólares en la reputación de tu compañía. La mayoría de las empresas no se recuperan financieramente de una violación de datos. Incluso cuando es gratis, las empresas a menudo no se actualizan. WannaCry había sido parcheado gratuitamente por Microsoft, pero miles de personas no habían aplicado el parche de hace tres meses cuando WannaCry se volvió loco.
Otros costos incluyen la pérdida de negocios, la exposición de los activos de la compañía y la posibilidad de demandas que podrían golpearlo en el camino. Entonces, ¿cuánto costó el dispositivo de seguridad?
5. Somos inhackeables
Eso NUNCA termina bien. Cuando alguien hace esa declaración, a menudo lo eleva a la cima de la lista de «Vamos a echarlos» para los atacantes. Tengan en cuenta que todas las herramientas que usan los profesionales de la seguridad también están disponibles para los atacantes. La mentalidad invencible suele ser desmentida con el tiempo. Y el tiempo es realmente el único recurso que los atacantes tienen más que los profesionales de la seguridad cibernética.
¿Algunas de las excusas anteriores eran incómodamente familiares? Es importante preguntarse si el verdadero costo de una brecha de seguridad es mayor que el costo de estar extra preparado y ser diligente. Obtén más consejos y estrategias de expertos de Dale Meredith en su webina «Dónde gastar tus dólares de seguridad».