Los cambios en el pensamiento sobre la seguridad de la información se compartieron en la conferencia CIO CSO 2024. Este se considera un mensaje histórico que muestra cambios importantes en la situación de la seguridad de la información a nivel mundial y en Vietnam, cuando ninguna empresa u organización puede estar segura de su seguridad.

La seguridad de la información no es una opción sino una necesidad

Al inaugurar el evento, un representante del Departamento de Seguridad de la Información del Ministerio de Información y Comunicaciones, afirmó que implementar normas de seguridad de la información ya no es una opción sino una obligación.

La advertencia se emitió en el contexto de que las regulaciones de seguridad de la información están completas, pero muchas empresas y organizaciones aún son subjetivas y no están mejor preparadas para responder a los riesgos.

Por otro lado, los ciberdelincuentes son cada vez más activos y han considerado a Vietnam como un mercado. De hecho, hay grandes unidades domésticas que han sido atacadas causando millones de dólares en daños, y muchas otras unidades han sido multadas por incumplimiento.

Para aclarar esta cuestión, el Sr. Nguyen Son Hai, director de Viettel Cyber ​​​​Security (VCS), habló sobre la realidad de la ampliación de los objetivos de los ciberdelincuentes. Las empresas grandes y financieramente sólidas ya no son la única prioridad para los piratas informáticos porque tienen algunas capacidades defensivas. Los piratas informáticos ahora han ampliado sus objetivos a "objetivos blandos", que son empresas más pequeñas que no se han centrado en la seguridad de la información. Luego atacarán a gran escala para maximizar las ganancias. Esto convierte a cualquier empresa en un objetivo potencial para grupos de piratas informáticos de clase mundial.

El representante de VCS evaluó que los ataques ahora no solo buscan robar datos y activos, sino que también buscan interrumpir las operaciones comerciales. Por lo general, los ataques de cifrado de datos (ransomware) combinados con ataques dirigidos APT cifran al menos 10 TB de datos, lo que hace que las empresas nacionales paguen más de 5 millones de dólares y, al mismo tiempo, sufran graves impactos en la reputación y los activos, sin mencionar las docenas de empresas que se han visto inicialmente comprometidas.

Mientras los atacantes están activos, las empresas enfrentan muchos desafíos al implementar la seguridad de la información. A partir de esta asimetría, el Sr. Hai considera que la posibilidad de ser atacado por ciberataques se ha convertido en una realidad objetiva inevitable, lo que requiere que las empresas tengan un nuevo enfoque.

"Anteriormente, intentábamos prevenir el ataque, pero ahora debemos asumir qué sucedería si tuviera éxito. Necesitamos una solución que lo cubra, que consiste en optimizar la ciberresiliencia, con el objetivo final de mantener la continuidad operativa de las organizaciones y empresas", afirmó el Sr. Hai.

Invertir en seguridad de la información garantiza un rendimiento empresarial continuo

A través del proceso de implementación real en cientos de unidades nacionales, el Director de VCS se solidariza con los desafíos que los líderes de tecnologías de la información y seguridad de la información suelen enfrentar. En ese momento, los tres problemas principales que había que resolver eran los recursos humanos, la eficiencia de la inversión y la optimización de costes.

Cuando los recursos humanos en materia de seguridad de la información son siempre escasos, con frecuencia solo el 5% de las grandes empresas tienen acceso a personal cualificado. El consejo que dan los expertos de VCS es combinar la capacitación del personal existente y el trabajo con socios para complementar los recursos y crear un equipo de monitoreo 24 horas al día, 7 días a la semana.

Respecto de la eficiencia de la inversión, el Sr. Hai sugirió que las unidades deben medir mediante indicadores de resultados en lugar de sólo el resultado de la inversión. "Anteriormente, el objetivo era prevenir el mayor número posible de incidentes y ataques. Pero ahora, el objetivo final es garantizar la continuidad del negocio", enfatizó el Sr. Hai.

Por último, según los responsables de VCS, para optimizar costes, además de cambiar la forma de hacer las cosas en una dirección consistente, necesitan encontrar socios adecuados para aumentar la especialización y evitar dispersar las inversiones.

Un socio de seguridad de la información para una empresa puede ser un proveedor de productos o un proveedor de servicios de seguridad de la información. Sin embargo, cuando actúan solos, estos socios a menudo no pueden ofrecer una estrategia integral, no tienen un conocimiento profundo de la organización e incluso los costos para estos socios pueden dispararse y volverse difíciles de controlar.

Esta es también la razón por la que, en los últimos dos años, VCS ha desarrollado el Programa de Madurez de Seguridad Cibernética (CSMP), con el objetivo de convertirse en un socio a largo plazo mediante el establecimiento de indicadores de gestión y medición, al tiempo que controla y optimiza los costos, siguiendo el ciclo de vida del negocio para ayudar al negocio a madurar en seguridad de la información, asegurando operaciones efectivas y continuas.