Dave Russell, vicepresidente de estrategia empresarial de Veeam, nos dice que las empresas deben comprender la responsabilidad que tienen con sus clientes y empleados para proteger los datos dentro de su jurisdicción.
En los últimos años, los ciberataques se han convertido en algo de lo que el público en general es cada vez más consciente. Sin embargo, todavía existe la percepción, ciertamente fuera de la industria de TI, de que los ataques cibernéticos son solo algo que sucede en Internet.
Es difícil relacionarse y equiparar el impacto del delito cibernético en sus víctimas, ya sea una persona que ha cometido una estafa en línea o una empresa que se ha visto obligada a pagar un rescate para restaurar sus sistemas. Por esta razón, no siempre parece que el delito cibernético se vea o trate como un delito «real».
Si bien reconocemos que el delito cibernético es un delito real, para algunos puede ser difícil aceptarlo. La idea de estar totalmente indignado por un hacker que acaba con una corporación multinacional puede parecer un poco descabellada.
Esto posiblemente se deba a los estereotipos acerca de que los ciberdelincuentes son descritos como niños prodigio de la informática descontentos que no tienen nada mejor que hacer que «pegarse al hombre». Considere que la mayoría de los ciberataques son obra de sindicatos del crimen enormes, organizados y ricos. Son operaciones altamente sofisticadas con el objetivo de robarle dinero al negocio que paga tu salario y al gobierno que recauda tus impuestos. ¿Suena como un crimen?
¿Somos culpables de culpar a la víctima?
El hecho es que el delito cibernético es un delito real y las empresas donde lo cometen son víctimas. Han sufrido un crimen cometido contra ellos.
A pesar de esto, el nivel de simpatía hacia las organizaciones que son violadas es muy diferente al que le daríamos a un individuo. Si alguien le dice que ha sido pirateado, que se ha comprometido su información personal y que le han robado dinero, su reacción natural probablemente no sea decir que es su culpa.
Sin embargo, las brechas cibernéticas son una fuente de daños duraderos para la reputación de las empresas. Tendemos a suponer que hicieron algo mal o actuaron sin cuidado. Como alguien que ha trabajado en la industria de la protección de datos durante más de 32 años, tendería a estar de acuerdo con esto. La gran mayoría de los incidentes cibernéticos son evitables y son el resultado de que las organizaciones no sigan las mejores prácticas, una higiene digital deficiente o software obsoleto o sin parches.
Aun así, ¿existe algún otro tipo de delito que se centre casi exclusivamente en culpar a la víctima y tan poco en llevar a los delincuentes ante la justicia? Las empresas son vistas como culpables en lugar de víctimas y se acepta que los delincuentes son impunes debido a la falta de un marco legal global y un sistema de justicia acordados.
Si un delincuente de otro país viaja a los EE. UU., por ejemplo, y comete un delito contra un negocio en suelo estadounidense, existe todo un proceso diplomático para garantizar que esta persona sea llevada ante la justicia y la víctima sea indemnizada. Este simplemente no es el caso cuando se trata de ransomware.
La cooperación internacional e intercontinental es la única forma de crear un entorno en el que los riesgos sean mayores que las recompensas para los ciberatacantes. El flagelo del ransomware se aceleró durante la pandemia, aumentando el apetito de los líderes gubernamentales y empresariales por romper el estancamiento geopolítico que ha permitido que los ciberdelincuentes se desboquen. Pero no será fácil, y todavía faltan años para encontrar una solución holística viable.
Aprende defensa personal
En ausencia de un sistema de justicia que nos proteja por completo de los malos, el instinto básico de supervivencia humana exige que aprendamos a defendernos. En el contexto de la ciberseguridad, eso significa centrarse en algunos aspectos fundamentales.
En primer lugar, cada empresa necesita un líder de seguridad de TI dedicado con acceso al liderazgo comercial y la autoridad para liderar la iniciativa de seguridad. Para las empresas más pequeñas, es absolutamente necesario tener un recurso con responsabilidad designada para la ciberseguridad y que se especialice en protección de datos.
En segundo lugar, las empresas deben practicar una higiene digital impecable. Esto incluye capacitación obligatoria para todos los empleados para que reconozcan posibles ataques, comprendan a quién informarlos y entiendan por qué esto es importante. Cuantas más personas compren la necesidad de una buena higiene digital, más alertas y dispuestas a quitarse las anteojeras se vuelven.
Finalmente, nunca pague el rescate. Las organizaciones que pagan rescates alimentan la percepción del «día de pago fácil» que significa que los ciberdelincuentes siguen haciéndolo. Tan pronto como las empresas dejen de pagar rescates, veremos una reducción en la popularidad del ransomware como técnica de extorsión.
Si bien las empresas que sufren ciberataques son víctimas, son responsables de proteger los datos que usan, procesan y almacenan. Pagar a los ciberdelincuentes para que los sistemas vuelvan a estar en línea es una estrategia de defensa insostenible. A medida que los gobiernos se vuelven más activos en la búsqueda de prevenir la propagación de ransomware, es posible que veamos empresas que lo hacen investigadas y reprendidas por reguladores independientes.
Claramente, hacer frente a la escala implacable y masiva de la actividad cibercriminal contra empresas e individuos será un esfuerzo internacional tanto en el sector público como en el privado.
Si bien es importante que el delito cibernético se “criminalice” adecuadamente y que los perpetradores sean llevados ante la justicia, las empresas deben comprender la responsabilidad que tienen con sus clientes y empleados para proteger cualquier información dentro de su jurisdicción.
Esto solo se puede hacer mediante la implementación de una estrategia moderna de protección de datos que combine defensas de ciberseguridad de primera línea efectivas con un enfoque integral para la copia de seguridad de datos y la recuperación ante desastres.
Haga clic a continuación para compartir este artículo
