Contact us
Search
English

Ciberseguridad como estrategia

Elabora estrategias de ciberseguridad y evita pérdidas

Blog Ciberseguridad como estrategia
jarango

Julian Arango

| 5 min read

Table of contents

Contact us

Manuel Hepfer y Thomas Powell de la Universidad de Oxford compartieron algunas lecciones de las empresas que se enfrentaron a ataques ransomware en los últimos años. Los resultados de la investigación fueron publicados en un reciente artículo del MIT Sloan Management Review. En mis palabras, el documento clama por cambiar la manera en la que las organizaciones ven la ciberseguridad. Me sorprendieron dos aspectos: primero, la mayoría de las organizaciones todavía piensa que la ciberseguridad es solo instrumental para sus negocios. Segundo, las ciencias del comportamiento pueden ofrecer valiosas herramientas para mejorar el enfoque organizativo de la ciberseguridad. En este post, trato de describir estos aspectos del artículo a la luz de perspectivas comportamentales.

La ciberseguridad no es un esfuerzo perdido

Fue sorprendente encontrar en el artículo que los ejecutivos ven la ciberseguridad como una situación de doble pérdida. "Sentían que, si su empresa era atacada, perderían reputación y ganancias; si su empresa no era atacada, las inversiones en ciberseguridad se desperdiciarían". La aceptación de esta narrativa podría estar arraigada en varios sesgos cognitivos. La saliencia (salience en inglés) es una pieza esencial aquí: aquello que se presenta ante nosotros impulsa nuestros juicios y fomenta nuestros comportamientos. El que no haya alguna violación o ataque, significa que se desperdicia dinero (¿qué pasaría si se estuviera efectuando un ataque del que no tenemos conocimiento?). En cambio, si se confirma un ataque o una violación, ahí sí se piensa en pérdidas. Sin embargo, esto es como decir que una empresa de construcción desperdicia dinero probando la resistencia sísmica de sus edificios. La narrativa de doble pérdida implica la movilidad del punto de referencia lo que hace que aparezcan pérdidas en ambas situaciones. Y como "las pérdidas parecen más grandes que las ganancias", entonces las organizaciones dejan de invertir, pensando que así están evitando pérdidas.

Usemos una narrativa y un modelo mental diferentes para abordar la ciberseguridad. Las amenazas en el ámbito digital y los terremotos son similares en tanto que no sabemos cuándo vamos a experimentar alguno. Sin embargo, a diferencia de lo que ocurre con los terremotos, las organizaciones deben ser conscientes de que un ataque o una violación cibernética podrían permanecer ocultas durante algún tiempo, lo que terminaría amplificando riesgos y pérdidas. Además, dada la dinámica de las amenazas cibernéticas, las organizaciones deben estar preparadas continuamente para afrontarlas. Solo de esta manera, las empresas podrán reducir su exposición a tales riesgos, minimizando así el precio que podría esperarse de las pérdidas.

Algo adicional que podemos hacer es cambiar el punto de referencia. Para lograrlo se podría adoptar una actitud de transparencia plena en los buenos y en los malos tiempos. Es decir, destacar y hacer públicas las acciones exitosas de prevención y contención a las partes interesadas, así como revelar violaciones e incidentes que hayan causado daño. Hepfer y Powell también abordaron esto: "Mantener los ciberataques confidenciales también implica que las mejores prácticas para responderles no son compartidas y que los ejecutivos no puedan aprender de los ciberataques a otras empresas" (p.15).

También podemos trabajar con los altos mandos ejecutivos en la consideración de situaciones hipotéticas, debatiendo, por ejemplo, preguntas como las siguientes:

  • ¿Cuántas vulnerabilidades se han identificado y corregido? ¿Qué habría pasado si esas vulnerabilidades hubieran permanecido abiertas?

  • ¿Cuántos incidentes se han evitado o contenido exitosamente con los esfuerzos actuales de ciberseguridad? ¿Podríamos haber tenido los mismos resultados sin estos esfuerzos? ¿Cómo podríamos saberlo?

  • ¿Cuál ha sido el papel que ha tenido la ciberseguridad al momento de disuadir ataques o prevenir errores que, a cualquier nivel, han amenazado los negocios? ¿Podemos decir con confianza que no se habrían cometido ataques ni errores si no hubiéramos tenido esfuerzos de ciberseguridad?

  • ¿Dónde tenemos lagunas en la ciberseguridad? ¿Qué podría pasar si no cerramos esas brechas en las próximas semanas?

Una narrativa diferente, cambiar los puntos de referencia cognitivos y pensar en situaciones hipotéticas realistas puede ayudar a posicionar mejor las operaciones de ciberseguridad.

Telescope

Foto de Maarten van den Heuvel en Unsplash

La ciberseguridad sufre conforme a su modo de enmarcación

Gracias a la psicología y al marketing sabemos que la forma en que se presentan las opciones, mensajes y situaciones (el modo en que son enmarcadas) influye en cómo se perciben o juzgan. He aquí un ejemplo llamativo compartido por Richard Shotton: una tienda en Estocolmo quería vender más plátanos orgánicos que los habituales no orgánicos. Para evitar explicar los beneficios de los plátanos orgánicos, el supermercado calificó al primer grupo como "plátanos orgánicos" y al segundo como "plátanos rociados con pesticidas". Adivina qué pasó después.

Lo mismo se aplica a la seguridad de la información como campo, servicio o responsabilidad. La ciberseguridad suele enmarcarse como un tema o rama de la tecnología de la información (TI), y el imaginario que esto crea es que es algo meramente instrumental y que no tiene suficiente relevancia. Hepfer y Powell escribieron lo siguiente: "[los ejecutivos] nos dijeron que su mayor error en el período anterior al ataque de NotPetya era tratar la ciberseguridad como un problema operativo". Hacer este tipo de vínculos monocategoriales con la TI pone una barrera entre la ciberseguridad y el pensamiento estratégico. La capacidad de la empresa para mantenerse en el negocio se deja en segundo plano, ya que la TI es sobresaliente. Esto se vuelve evidente cuando ya es demasiado tarde.

Get started with Fluid Attacks' DevSecOps solution right now

Otra consecuencia de la enmarcación habitual es la inercia, una tendencia conductual bien conocida. Como afirman los autores en su artículo, "nuestra tendencia cognitiva es continuar con las mismas prioridades estratégicas, interpretando la ausencia de un ciberataque como evidencia de que la empresa está en el camino correcto". Además, la tendencia crea y preserva una ilusión de control mientras no ocurre ningún ataque. ¿Qué pasa si hay una brecha que no se ha detectado? "Los ciberataques no son rutinarios y son difíciles de planear, y muchos ejecutivos no han experimentado un ciberataque grave". Parece que los ejecutivos siguen el dicho inercial: “si no está roto, no lo arregles". El artículo de Hepfer y Powell muestra lo peligroso que es esto.

La ciberseguridad se asemeja a una elección intertemporal

Un comentario final desde una perspectiva comportamental: la ciberseguridad, en esencia, es una elección intertemporal. La ciberseguridad tiene que ver con las decisiones que tomamos hoy y las consecuencias futuras de esas decisiones. Si ahorras dinero hoy y sigues haciéndolo, disfrutarás de una buena jubilación. Si inviertes hoy en ciberseguridad y mantienes inversiones en ciberseguridad, tu negocio será más proclive a prosperar. Sin embargo, una buena ciberseguridad consiste en adaptarse al panorama cambiante y en hacer que un negocio sea sostenible y competitivo mediante la buena gestión de riesgos hoy. En otras palabras, la ciberseguridad tiene un impacto presente en los negocios. El problema es que nuestra cognición no lo percibe, nosotros no lo vemos.

En el artículo, los investigadores se centraron también en la naturaleza intertemporal de la ciberseguridad. "Después de haber experimentado un ataque, los ejecutivos de la compañía de productos de consumo reconocieron que los ciberataques no se pueden prevenir, pero sí hay manera de prepararse para ellos. La junta se dio cuenta de que el impacto de un ataque no se limita a la TI, sino que afecta la viabilidad de todo el negocio". Para estos ejecutivos, fue necesario un ataque con pérdidas masivas para pensar estratégicamente en la ciberseguridad. El ciclo de aprendizaje se cerró abruptamente. Como seres humanos, estamos sesgados en el presente, y nos involucramos con cosas que podemos disfrutar de inmediato. Sin este tipo de comentarios que provienen de la experiencia, tendríamos problemas para pensar a largo plazo.

La ciberseguridad es una necesidad para los negocios

Fluid Attacks proporciona servicios que contribuyen a solucionar los problemas y recomendaciones discutidos en este blog. Por un lado, tenemos Hacking Continuo que vendría a ser como las pruebas de resistencia sísmica a las que nos referíamos antes. Aquí se identifican vulnerabilidades y los clientes pueden saber el daño potencial de estas en caso de permanecer abiertas (una aproximación a las situaciones hipotéticas). Además, con nuestra plataforma, una organización puede mostrarle a los interesados todo lo que, tras bambalinas, podría afectar al negocio. Esto equivale a adoptar transparencia, permitir el aprendizaje para el futuro y señalar oportunamente lo que debe hacerse rápidamente.

Esperamos que hayas disfrutado de este post. Haznos saber lo que piensas y contáctanos si deseas saber más sobre nuestras soluciones.

Tags:

Subscribe to our blog

Sign up for Fluid Attacks' weekly newsletter.

Recommended blog posts

You might be interested in the following related posts.

Photo by James Lee on Unsplash

On the CrowdStrike Incident

A lesson of this global IT crash is to shift left

Photo by CardMapr on Unsplash

Securing Online Payment Systems

Users put their trust in you; they must be protected

Photo by Wilhelm Gunkel on Unsplash

Commitment Should Show

Transparency for fewer supply chain attacks

Photo by Sarah Kilian on Unsplash

Site Crashed? Not Your Bank's!

Develop bank applications that resist DDoS attacks

Photo by Towfiqu barbhuiya on Unsplash

The Complex Path to Bank Compliance

Ensuring compliance and security in the banking sector

Photo by Andre Taissin on Unsplash

Cybersecurity in Banking

With great convenience comes increased risk

Photo by FlyD on Unsplash

Safe Supply Chain in Financial Orgs

Software supply chain management in financial services

Start your 21-day free trial

Discover the benefits of our Continuous Hacking solution, which hundreds of organizations are already enjoying.

Start your 21-day free trial
Fluid Logo Footer

Hacking software for over 20 years

Fluid Attacks tests applications and other systems, covering all software development stages. Our team assists clients in quickly identifying and managing vulnerabilities to reduce the risk of incidents and deploy secure technology.

Service

Continuous Hacking

Platform overview

Solutions

Application security

Compliance

Systems

Testing Techniques

ASPM

SAST

DAST

MPT

MAST

SCA

CSPM

PTaaS

RE

SCR

Plans

Essential

Advanced

Resources

Blog

Learn

Advisories

Clients

Downloadables

Documentation

Company

About us

Certifications

Partners

Careers

Contact us

Ethics Hotline

Copyright © 0 Fluid Attacks. We hack your software. All rights reserved.

Service status

Terms of use

Privacy policy

Cookie policy