Así se puede gestionar en las empresas la exposición al riesgo con la tecnología de la información

Cada vez son más dependientes las empresas de la tecnología y, de igual manera, pueden ser víctimas de los ciberdelincuentes en Colombia y en cualquier parte del mundo.

Por tal motivo, hay que tener en cuenta unas buenas prácticas para prevenir impactos sobre sus operaciones y recursos críticos, incluyendo los de clientes y usuarios.

A propósito del tema, Felipe Gómez, Latam Manager de Fluid Attacks, aseveró que “en plena transformación digital, con cada vez más productos y servicios ofrecidos a través del entorno cibernético, los criminales tienen a su disposición un abanico cada vez más amplio de objetivos de ataque”.

A lo que agregó que “por fortuna, la exposición al riesgo en el empleo de la tecnología de la información es una variable que se puede gestionar. Las empresas que entienden, priorizan y minimizan los factores de riesgo, como las vulnerabilidades de seguridad en su software, pueden mostrar gran solidez ante la creciente ola de amenazas”.

Según Gómez, si una empresa está encargada de desarrollar y modificar software para sí misma o para otros, debería aplicar con su equipo de desarrollo la escritura de código seguro desde el principio.

Lo recomendable es que tengan como base estándares internacionales de seguridad, incluyendo requisitos que se acomoden a su industria en particular, y atiendan debidamente a factores como la validación de inputs, la gestión de la autenticación, los controles de acceso, el cifrado de la información confidencial, el reporte de errores, entre otros.

A evaluar y actualizar

De igual forma, los productos y servicios tecnológicos evolucionan de forma acelerada, y las amenazas están en acecho continuo. Gracias a las pruebas de seguridad se logra reconocer qué es aquello que los cibercriminales pueden impactar y de qué manera, en los sistemas cambiantes de una empresa.

Recomienda el experto recurrir a pruebas de forma constante, sin limitarse al escaneo de vulnerabilidades conocidas con herramientas automatizadas. También es necesario solicitar la aplicación constante de evaluaciones con hacking ético, que permitan hacer un análisis más profundo, detectar vulnerabilidades desconocidas y disminuir las tasas de falsos positivos y falsos negativos.

Así mismo, los hallazgos de las pruebas de seguridad deben ser priorizados, según el riesgo que representen, para en ese orden llevar a cabo su remedición.

El esfuerzo de los equipos de seguridad en las empresas debe centrarse primero en solucionar las vulnerabilidades explotables y de severidad más alta, antes de pasar a enfocarse en aquellas que, independientemente de que sean más, impliquen menos costos al ser aprovechadas por los delincuentes.

Agregó Gómez que todo software de terceros que haga parte de los productos y sistemas de la empresa debe ser conocido y estar dentro de un inventario. Adicionalmente, este material debe mantenerse actualizado en sus últimas versiones, las cuales podrían ya haber resuelto las vulnerabilidades previamente conocidas.

Aseveró que “en el último reporte anual (State of Attacks 2022), revelamos que el problema de seguridad más común entre los sistemas que analizamos fue el uso de software con vulnerabilidades conocidas, un problema directamente asociado a la violación del requisito de verificar los componentes de software de terceros.

También consideró que la seguridad tecnológica debe ser un asunto prioritario en las discusiones y estrategias empresariales. Incluir profesionales con conocimiento y experiencia en el área de ciberseguridad puede ayudar a inculcar en una empresa un mayor compromiso por la protección de operaciones y activos, generando en los inversores y clientes confianza y tranquilidad.