La ciberseguridad en los entornos híbridos, una responsabilidad de todos
Los ciberdelincuentes siguen entrando en las empresas con amenazas tradicionales como el phishing, lo que apunta directamente a la responsabilidad del empleado.
La pandemia de la COVID-19 que asoló a todo el mundo hace tres años nos ha dejado varias certezas tanto en clave tecnológica como social. La primera, que el modelo laboral ha cambiado para siempre, y aunque esté en permanente movimiento –ahora parece que la tendencia de muchas grandes empresas, entre ellas las digitales, sea la vuelta a las oficinas–, se ha instalado en un término medio híbrido, que combina el recinto corporativo con los hogares. A raíz de esto, la adopción de la nube se ha disparado, ganando cuota año a año; y la ciberseguridad se ha convertido en un imperativo de negocio. Prueba de ello es la democratización de los ataques, que llenan titulares de todo tipo de medios de comunicación desde la citada crisis, y que se ha instalado cierta sensación de miedo entre las juntas directivas: más del 97% consideran que sus empresas son propensas a tener un incidente, según un estudio de Zscaler.
Otra evidencia es que los presupuestos dedicados al departamento del CISO crecen a doble dígito a pesar de la incertidumbre económica que recorre todo el globo. Si datos de IDC cifran el aumento del gasto en un 12,1% en 2023, otra de las grandes consultoras, Gartner, auspicia que el incremento será superior al 14% durante el próximo ejercicio. ¿Pero, son suficientes estas partidas? ¿Las estrategias para aterrizarlas van por el camino correcto?
Diversos analistas de mercado aseguran que las compañías han tenido tiempo de sobra para asegurar la parte tecnológica, que ha pasado de la típica concepción de ‘foso y castillo’, es decir, de las redes corporativas, a un entorno multidispositivo y cloud. Sin embargo, los ciberdelincuentes siguen entrando en ellas con amenazas tradicionales como el phishing, lo que apunta directamente a la responsabilidad del empleado, conocido comúnmente en la jerga de TI como el eslabón más débil de la cadena de la ciberseguridad. En este sentido, se hacen fuerte las estrategias de Zero Trust, basadas en no confiar en la identidad de las personas que acceden a las aplicaciones, tratando de demostrar, en todo momento, que son quienes dicen ser.
Pero más allá de componentes técnicos, el examen que aquí se propone es el de la concienciación y la madurez. En un estado en el que, por ejemplo, shadow IT vuelve a salir a escena, una compañía es tan resiliente como lo sea el conjunto de su personal, independientemente de la actividad que realice. Más en un contexto complejo, como el que se ha descrito, y en el que los ‘malos’ siguen sofisticando sus técnicas de ataque, en estos momentos, a golpe de inteligencia artificial (IA) generativa. Bien son ciertos los mantras de que la seguridad 100% no existe y de que los ciberdelincuentes siempre van un paso por delante de los sistemas defensivos. Ante este complejo escenario, el componente humano no debe cometer errores obvios. Más que nunca, la ciberseguridad, en los entornos híbridos laborales, es cosa de todos.
