Una de las grandes dudas que nos ha dejado la pandemia y sus obligados cambios tecnológicos, es si las empresas requieren invertir en ciberseguridad. Reza el dicho, es mejor prevenir que curar. Sin embargo, estamos frente a un tema que tiene un sin número de aspectos técnicos y de cultura que hacen difícil entender si se trata de una inversión o de un gasto en tecnología.
Hace algunos años las empresas no contemplaban entre sus inversiones más importantes las asociadas a la seguridad de la información y ciberseguridad, pero hoy eso ha cambiado. Son miles los millones de pesos que cada año se pierden como consecuencia de filtraciones de datos, daño reputacional y, en los más graves, pérdida de disponibilidad o servicio.
En Chile, un gran número de empresas bien sea por carencia de presupuesto o por un tema de de cultura empresarial, operan de manera reactiva, e invierten sólo una vez que ocurre un incidente en ciberseguridad. Por otro lado, existe una lucha constante entre las áreas de TI y la alta gerencia. ¿cómo logramos definir cuál es el primer paso en una organización sin un plan establecido? Al igual que con otros riesgos, esto debe ser parte de un plan, de un proceso, que no puede ser tomado como una individualidad y ajeno al core del negocio y de la organización.
Como todo riesgo, sobre todo en materia informática y de ciberseguridad, donde los ciberdelincuentes desarrollan nuevas amenazas, técnicas y humanas a diario, existe la opción de que aun cuando tomemos todas las medidas para reducirlo, de todas formas, podremos ser víctimas de un ataque informático. Con eso en mente, cabe preguntarse, ¿vale la pena la inversión?; ¿o será un gasto? Lo que se debe tener claro es que no es una inversión autónoma la que nos llevará a reducir nuestros riesgos, es la mirada global de los mismos las que nos permitirá un desarrollo organizacional que permita digerir estos cambios. De nada sirve adquirir software de primer nivel si nuestra organización aún mantiene antiguas prácticas y personal que no ha sido capacitado en los aspectos más mínimos de la ciberseguridad.
Hoy en día son muchas las empresas que han decidido invertir, pero esa inversión sin un adecuado plan que conlleve un desarrollo organizacional, una mejora en su estructura y una alta dirección comprometida y consciente de su importancia será simplemente un gasto. La decisión de invertir, como invertir y en que invertir, se trata en definitiva de una obligación de medios por parte de los tomadores de decisiones, y no de resultado
¿Cómo se conjuga entonces el nivel de riesgo, la inversión necesaria y las utilidades de las empresas? Se debe dejar de pensar y “creer” que la ciberseguridad es un tema propio de las áreas de TI (o técnico) y generar propuestas que permitan un manejo global de la organización, para ello, el primer paso siempre deberá ser el factor humano de la empresa. Si ellos son parte del cambio, si entienden que cada uno es vital para la resiliencia y la reducción de los riesgos el proceso podrá ser más sencillo. De igual forma es vital el compromiso y perfeccionamiento en el grado de conocimientos en materias de ciberseguridad por parte de la Alta Gerencia, que debe dar directrices claras y concretas para que la lograr procesos que sean medibles, adecuados y que busquen una mejora continua de los procesos.
Entonces, ¿deben invertir las empresas en ciberseguridad? Si se pretende la compra de softwares o aplicativas estrellas seguramente la respuesta es no, pero si lo que se busca es el desarrollo de un plan global y que se encuentre en sintonía con la visión y misión de la empresa, con personal capacitado y que sea participe del mismo, sin ninguna duda la respuesta es Sí, y en ese caso, sin duda, hablaremos de una inversión y no de un gasto en Seguridad de la Información y Ciberseguridad.