Ciberseguridad con bajo presupuesto: optimizando tu retorno de inversión.

Con aproximadamente un tercio de las empresas siendo afectadas por ciberataques, las organizaciones se ven en la necesidad de invertir en defensas adecuadas. Sin embargo, muchas veces no cuentan con un presupuesto elevado para ello. Afortunadamente, existen varias alternativas para aquellas empresas que buscan ser eficientes y maximizar el uso de sus recursos actuales. A continuación, se analizan las maneras en que las empresas pueden protegerse contra las amenazas cibernéticas sin grandes gastos.

Desarrollar una estrategia cibernética sólida que se ajusta a las necesidades específicas del negocio es esencial para asegurar que se está enfocando en lo más importante. Para comenzar, es fundamental identificar la misión y los objetivos de la organización. Por ejemplo, en el caso de una empresa de fabricación de alimentos, su misión podría ser abastecer supermercados con sándwiches preenvasados, y su meta producir 200,000 paquetes diarios. Si esta instalación dejara de funcionar por un día debido a un ataque, el impacto podría incluir una pérdida de ingresos de £100,000 diarios, daños a la reputación, costos legales y la posibilidad de que los minoristas ejerzan cláusulas de incumplimiento contractual. Al imaginar el peor de los escenarios, se puede obtener una mejor comprensión de qué sistemas son críticos para las operaciones del negocio y qué tiempo de inactividad se puede tolerar, lo que ayuda a identificar donde se requiere mayor inversión y recursos.

El siguiente paso es evaluar si las defensas existente son suficientes para proteger los sistemas, redes y datos críticos. Para hacer una evaluación efectiva, se puede considerar la opción de que un equipo de seguridad, interno o externo, realice simulaciones de ataque a esos sistemas y se registre el resultado. Es importante tener claridad sobre cómo se identificaron los ataques, qué medidas lograron contenerlos o erradicarlos, y cuál fue la respuesta ante la situación.

Esta práctica puede revelar fortalezas y debilidades en relación con las tecnologías, personal y procesos en defensa del negocio. En cuanto a las tecnologías, se pueden descubrir formas de optimizar las herramientas y recursos actuales para operar con mayor eficiencia. Por ejemplo, podría haber herramientas duplicadas cuya eliminación permitiría cancelar contratos y reinvertir esos recursos. También es posible que existan configuraciones de seguridad subutilizadas, como filtros de correo electrónico incorporados para proteger contra spam y phishing.

Con respecto al personal, fomentar una mentalidad de "cero confianza" entre los empleados es crucial para disminuir la probabilidad de que un ataque tenga éxito. Hay diversas actividades de bajo costo que las empresas pueden implementar para fomentar esta cultura de seguridad. Al igual que se revisan las herramientas tecnológicas, es importante revisar las habilidades del equipo de seguridad y TI, así como del personal en general. Existen oportunidades para compartir conocimientos, a través de eventos informales o capacitaciones más estructuradas. La inversión no tiene por qué ser elevada, y se dispone de recursos gratuitos como Dracoeye para ayudar a los equipos a identificar amenazas en materia de seguridad.

Además de la capacitación, es fundamental crear un entorno donde los empleados se sientan seguros de reportar actividades sospechosas sin miedo a error. Se puede establecer un portal dedicado para que el personal comparta inquietudes y se escalen las situaciones peligrosas. Lo peor es que los empleados se sientan intimidados y no se atrevan a comunicar problemas, por lo que se debe fomentar un clima abierto.

Finalmente, es crucial examinar los procesos y soluciones que se tienen en marcha ante cualquier eventualidad. Esto implica tener un plan claro que detalle cómo cada área del negocio continuará operando hasta que se lleve a cabo una recuperación. Es importante entender las obligaciones legales en relación a informar a los clientes y autoridades, si corresponde, como el Information Commissioner's Office (ICO) en el Reino Unido. Los empleados se sentirán más tranquilos si saben que existe un protocolo y un plan para cada posible situación.

Al seguir estos pasos, las empresas pueden aprovechar mejor sus recursos y redistribuir presupuestos para obtener ahorros inmediatos. La mayor victoria será contar con una estrategia cibernética efectiva, lo que reducirá enormemente el riesgo de daños financieros y reputacionales, permitiendo a la empresa seguir cumpliendo con sus objetivos.