Los efectos de un ciberataque pueden impactar en la propia continuidad del negocio, así como acarrear un gran riesgo reputacional y tener grandes efectos legales. Todo ello hace que la seguridad informática no se reduzca a un tema que se pueda delegar exclusivamente a las funciones tecnológicas de la organización y que se deba incluir en la agenda de la Alta Dirección
La ciberseguridad en la agenda de la alta dirección
JZ
Javier Zamora López
Management & Innovation (Núm. 50) · TIC · Noviembre 2022
La que fuera CEO de la compañía de seguros Lloyd’s, Inga Beale, declaró en la Conferencia de Davos de 2017 que en el mundo había dos tipos de compañías: las que habían sufrido un ciberataque y lo sabían y las que habían sufrido uno y no lo sabían. En estos últimos años, con el aumento de la densidad digital, la superficie de ataque de las organizaciones ha crecido considerablemente al diluirse las fronteras entre el mundo físico y el digital. Un hecho que se refleja constantemente en noticias de ataques a compañías, universidades, hospitales e infraestructuras críticas.
Esta situación se ha agravado con la pandemia de la COVID-19, donde el teletrabajo se ha convertido en una práctica habitual en muchas organizaciones. Últimamente, uno de los ciberataques más frecuentes son ataques de ransomware, donde se encriptan los datos alojados en los ordenadores de la compañía, reclamando un rescate monetario para obtener la clave de desencriptación. En 2020, a nivel mundial, se contabilizaron, según Statista, más de trescientos millones de este tipo de ataques. Ese mismo año, solo en Estados Unidos, supusieron más de trescientos cincuenta millones de dólares en pagos de rescate, según un informe de The Institute for Security and Technology.
Desgraciadamente, el cibercrimen se ha convertido en una industria en sí misma. Por ejemplo, en los ataques ransomware suelen intervenir dos organizaciones criminales: una primera, que se dedica a robar credenciales de acceso mediante la infección de ordenadores con virus troyanos u otras técnicas de suplantación de identidad, y otra que, posteriormente, compra estas credenciales robadas en subastas en la web oscura para, luego, desplegar el ataque de encriptación y gestionar el cobro del rescate en criptomonedas.
Esta industrialización del cibercrimen lleva pareja una alta sofisticación tecnológica que requiere un gran esfuerzo por parte de los departamentos de Sistemas, con el fin de minimizar los efectos de los ciberataques. Sin embargo, el impacto de un ciberataque en la propia continuidad del negocio, así como el riesgo reputacional y las derivadas legales, hace que la ciberseguridad no se reduzca a un tema que se pueda delegar exclusivamente a las funciones tecnológicas de la organización y que se deba incluir en la agenda de la Alta Direcc...
Javier Zamora López
Profesor de Dirección de Operaciones, Información y Tecnología en IESE Business School ·
Artículos relacionados
La empresa y la 'Web 2.0'
ED