En una sociedad hiperconectada, en la cual los cuales los ciudadanos, los gobiernos y las empresas dependen cada vez más del uso intensivo de la tecnología, la ciberseguridad se presenta como uno de sus retos más críticos. La proliferación y la severidad de los ataques informáticos demanda de las organizaciones una defensa efectiva de la seguridad de sus activos y de sus entornos tecnológicos, pues se estima que cada segundo, 12 personas u organizaciones se convierten en víctimas de delitos informáticos, con más de 1 millón de víctimas por día en todo el mundo.
Con el tiempo, los ataques informáticos se han percibido y experimentado de manera más cercana, y cada que vez que se anuncia un nuevo ciberataque en las noticias, lo común es que se asuma la postura “qué bueno que no fui yo”. Sin embargo, eso puede ser solo cuestión de tiempo: el 82% de las compañías dicen que esperan enfrentar una situación de esta naturaleza en algún momento.
No es un tema menor. De acuerdo con algunos de los más recientes estudios se estima que para el 2022 el impacto económico global por ataques cibernéticos podría llevar a las organizaciones arrojar pérdidas cercanas a los US$8 billones. Cada día, los ataques cibernéticos son más sofisticados: el 90% de los ataques a la seguridad empiezan con la suplantación de identidad y probablemente, lo más grave es que una víctima de un ciberataque se demora en promedio 99 días en detectarlo. Para una empresa, recuperarse de un ataque de phishing con lanza, por ejemplo, puede costarle hasta 1.6 millones de dólares.
Ante tal problemática, Microsoft y la Cámara Colombiana de Informática y Telecomunicaciones (CCIT), presentaron conjuntamente el manual La ciber resiliencia organizacional, un documento que propone una metodología de gestión del riesgo estructurada para enfrentar y mitigar las consecuencias de una crisis de ciberseguridad. Se trata de una herramienta para atender los desafíos regulatorios, tecnológicos, operacionales y de negocio que impone el nuevo panorama de tecnología para las organizaciones con una perspectiva nacional e internacional.
Y es que, para Microsoft, la ciberseguridad es de la mayor importancia. Por esta razón, invierte más de US$1 billón en seguridad anualmente, Windows Defender ATP defiende contra 5 billones de amenazas potenciales cada mes (o 160M por día), y en 2018 bloqueó más de 5B correos de phishing maliciosos y sospechosos.
Como parte integral de esta misión de velar por la seguridad y la confianza de sus clientes, Microsoft fomenta el trabajo cooperativo para la generación de conocimiento y la estructuración de metodologías para la óptima utilización de la tecnología. “Los riesgos del presente no pueden enfrentarse con herramientas del pasado. La ciberseguridad debe ser un ejercicio permanente, una necesidad de actualización y aprendizaje continuo” afirma Andrés Rengifo, Director de Confianza Digital y Asuntos de Propiedad Intelectual de Microsoft en Latinoamérica. Por esta razón, la compañía lanzó hoy junto a la CCIT esta herramienta para fortalecer a las empresas y la industria tecnológica en el país y ratificó su compromiso con el cumplimiento y la seguridad digital de las organizaciones.
¿Qué es la ciber resilencia?
Un programa de ciber resiliencia atiende los principios fundamentales de seguridad digital e integra componentes que permiten desarrollar un modelo o programa acorde con la naturaleza de cada organización y con los desafíos a los que se enfrenta.
Esta herramienta cuenta con tres componentes:
• Preparación. La organización debe identificar activos, evaluar y administrar el riesgo de infraestructura, desarrollar capacidades para responder y recuperarse de interrupciones e invertir en investigación, educación y prácticas que contribuyan a los objetivos de Ciber Resiliencia.
• Respuesta. Al usar los planes y estrategias establecidos durante la fase de preparación, las organizaciones resilientes continúan funcionando durante una crisis y se recuperan rápidamente.
• Reinvención. Identificar qué fue efectivo y en dónde la respuesta fue problemática; desarrollando un plan de mejora.
Si bien todos los activos son valiosos, no todos tienen el mismo impacto para la organización. En tal sentido, para la estructuración de un programa de resiliencia se deberán tener en cuenta criterios como tamaño, naturaleza jurídica, naturaleza de los datos tratados, el tipo de tratamiento al que se somete la información y los riesgos, entre otros.
“Los riesgos cibernéticos siempre estarán ahí; de hecho, esperamos que incrementen. Las compañías deben optimizar sus herramientas de ciberseguridad y trabajar simultáneamente en un programa de ciber resiliencia para mitigar consecuencias ante incidentes que pudieron evitarse con una adecuada gestión del riesgo” complementa Rengifo.