Si bien gran parte de la conversación sobre ciberseguridad se centra en cómo la IA está transformando las amenazas externas, muchas organizaciones en Asia Pacífico están lidiando con un problema más inmediato: la creciente frecuencia de incidentes impulsados por información interna.
Durante años, la ciberseguridad se ha definido como el “incidente mayor”, un evento único y de alto impacto que interrumpe las operaciones, expone datos confidenciales y aparece en los titulares. Pero ese marco ya no refleja cómo existe el riesgo en muchas organizaciones hoy en día, particularmente en Asia Pacífico.
Vicepresidente y director general de APAC, Mimecast.
Investigaciones recientes muestran que las organizaciones en APAC están experimentando más incidentes cibernéticos impulsados por información interna que sus contrapartes en América del Norte y Europa. En promedio, las empresas de la región experimentan unos ocho incidentes de este tipo por mes, en comparación con unos seis en EMEA y cinco en América del Norte.
Si bien el costo por incidente es en general consistente a nivel mundial, la mayor frecuencia en APAC cambia completamente la ecuación.
El verdadero problema no es la escala de una exposición concreta. Es el efecto acumulativo de muchos.
Riesgo cotidiano por eventos excepcionales
Los acontecimientos impulsados internamente ya no son raros ni excepcionales. Se están convirtiendo en una parte habitual del trabajo en entornos digitales.
Estos eventos pueden tomar muchas formas. Un empleado comparte información confidencial a través de un canal no autorizado. Las credenciales están comprometidas y se utilizan para acceder a los sistemas internos. Un archivo se abre sin querer a través de una plataforma mal configurada. En la mayoría de los casos, no existe ninguna intención maliciosa. El riesgo surge de la forma en que las personas interactúan con los sistemas, datos y herramientas mientras realizan su trabajo.
Lo que está cambiando no es sólo la naturaleza de estos acontecimientos, sino también su frecuencia.
Cuando las organizaciones se enfrentan a múltiples eventos impulsados internamente por mes, la conversación cambia. Ya no se trata de prevenir un solo incidente. Se trata de gestionar un flujo continuo de exposición.
Por qué APAC está experimentando incidentes más frecuentes
La mayor frecuencia de eventos impulsados a nivel nacional en APAC no es una coincidencia. Refleja cómo se estructuran y funcionan las organizaciones de la región.
Muchas empresas de APAC cuentan con una fuerza laboral numerosa y distribuida geográficamente. La colaboración en equipo es común en todos los mercados, zonas horarias y plataformas digitales. Las operaciones diarias implican un gran volumen de comunicación e intercambio de datos, a menudo a través de una combinación de sistemas locales, entornos de almacenamiento en la nube y aplicaciones de terceros.
Esto crea más oportunidades para que se transfieran datos y, con ello, más oportunidades para que se utilicen, divulguen o abusen de ellos.
Al mismo tiempo, las organizaciones están adoptando rápidamente nuevas herramientas para mejorar la productividad, incluidas herramientas de inteligencia artificial que pueden acceder y procesar grandes cantidades de datos. Si bien estas herramientas aportan claras ganancias de eficiencia, también introducen nuevas vías para la exposición de datos, a menudo sin visibilidad o control asociados.
El resultado es un entorno en el que el riesgo interno está determinado menos por errores aislados y más por interacciones entre personas, procesos y sistemas digitales cada vez más complejos.
El coste oculto de la repetición
Se comprende bien el impacto financiero de los acontecimientos impulsados internamente. Lo que se discute con menos frecuencia es cómo los efectos se agravan con el tiempo.
Cada incidente tiene un precio. Pero si el incidente ocurre una y otra vez, esos costos se acumulan exponencialmente.
Los equipos de seguridad se ven sometidos a una presión constante para investigar y responder. Ampliando el proceso de respuesta a incidentes. Las interrupciones operativas se vuelven más frecuentes. Con el tiempo, esto puede reducir la eficiencia y desviar recursos de iniciativas estratégicas.
La creencia también tiene implicaciones más amplias. Los clientes y socios esperan que las organizaciones manejen sus datos de manera responsable. Los incidentes repetidos, incluso si se contienen individualmente, pueden socavar la confianza en la capacidad de una organización para hacerlo.
La exposición regulatoria añade otra capa de complejidad. A medida que los gobiernos de APAC fortalecen los requisitos de privacidad y protección de datos, las organizaciones enfrentan un escrutinio cada vez mayor. En Singapur, la Comisión de Protección de Datos Personales ha intensificado la aplicación de la Ley de Protección de Datos Personales, exigiendo a las organizaciones que demuestren que no solo los incidentes están cubiertos, sino que las salvaguardias y los procesos apropiados son consistentes.
Por lo tanto, los incidentes frecuentes pueden plantear interrogantes no sólo sobre la regulación técnica, sino también sobre la gobernanza y la supervisión.
Por qué los enfoques tradicionales se quedan cortos
Muchas organizaciones continúan abordando la ciberseguridad centrándose en amenazas externas y vulnerabilidades técnicas.
Este enfoque sigue siendo importante, pero no aborda plenamente la naturaleza del riesgo impulsado por información interna.
Los modelos tradicionales suponen que los eventos son raros y pueden gestionarse como eventos aislados. Están diseñados para detectar anomalías, responder a incidentes y restaurar los sistemas a un estado seguro.
En entornos donde los eventos ocurren regularmente, este modelo es menos efectivo.
Responder a cada evento de forma aislada contribuye poco a abordar los patrones subyacentes que impulsan las exposiciones repetidas. Con el tiempo, las organizaciones pueden encerrarse en un ciclo de detección y respuesta sin reducir el nivel general de riesgo.
Repensar el riesgo interno como un desafío continuo
Para gestionar eficazmente los riesgos internos, las organizaciones deben cambiar su enfoque.
Comienza con el reconocimiento de que el riesgo interno no es un caso límite. Es un componente clave del panorama de amenazas moderno, moldeado por el comportamiento cotidiano y las operaciones rutinarias.
La visibilidad se vuelve crítica y, cada vez más, eso significa visibilidad del comportamiento. Las organizaciones deben comprender no sólo quién accede a los datos, sino también cómo. Los picos repentinos en las descargas, las transferencias inusuales a aplicaciones personales o los intentos de suplantar archivos cambiándoles el nombre pueden ser indicadores tempranos de exposición. Estas señales son fáciles de pasar por alto cuando los equipos de seguridad se concentran en las amenazas perimetrales, pero a menudo es donde los riesgos internos se hacen visibles por primera vez.
El contexto es igualmente importante. No todas las acciones conllevan el mismo nivel de riesgo. Comprender la intención, el comportamiento y el entorno que rodea una actividad permite a las organizaciones priorizar lo que realmente necesita atención en lugar de perseguir el ruido.
Las herramientas impulsadas por IA añaden otra capa de complejidad. A medida que las organizaciones de APAC adoptan aplicaciones de IA para mejorar la productividad, estas herramientas pueden acceder y procesar grandes cantidades de datos confidenciales, a menudo sin visibilidad ni control asociados. Al mismo tiempo, la IA puede ser un activo importante en la detección, estableciendo líneas de base de comportamiento y mostrando anomalías que serían difíciles de detectar manualmente. La clave es garantizar que la adopción de la IA en el lado operativo vaya acompañada de una supervisión informada por la IA en el lado de la seguridad.
Es importante destacar que el objetivo no es restringir a los trabajadores sino apoyarlos. Las investigaciones muestran consistentemente que la mayoría de los incidentes internos no son intencionales: son el resultado de un mal criterio o de un equipo desconocido, no de intenciones maliciosas. Los empleados no deben ser considerados como el eslabón más débil. Su éxito debe basarse en directrices claras, acceso adecuado y una cultura en la que informar inquietudes se sienta seguro en lugar de arriesgado.
Escalar la gestión de riesgos
A medida que los incidentes internos se vuelven más frecuentes, el desafío para las organizaciones no es solo la prevención, sino también la gestión a escala.
Esto significa ir más allá de los enfoques reactivos hacia modelos que puedan detectar patrones, predecir riesgos y responder de manera que reduzcan la exposición general con el tiempo.
Los principios de confianza cero son cada vez más fundamentales para esto. Limitar el acceso de los empleados únicamente a las necesidades reales de sus funciones (y reevaluar constantemente esos privilegios a medida que cambian las funciones) minimiza el impacto potencial cuando una cuenta se ve comprometida o se utiliza indebidamente. El proceso de baja merece especial atención. Los empleados que se van suelen conservar el acceso más tiempo del que deberían, y aquellos que están familiarizados con los sistemas internos pueden presentar una ventana de exposición significativa si ese acceso no se revoca inmediatamente.
Esto requiere una fuerte alineación entre seguridad, operaciones y gobernanza. El riesgo interno no se ubica claramente dentro de una sola función. Abarca tecnología, personas y procesos y debe abordarse en consecuencia. El riesgo interno debe considerarse un programa continuo, no una revisión periódica o un ejercicio de cumplimiento.
En APAC, donde las organizaciones operan en entornos altamente conectados y en rápida evolución, este cambio es particularmente urgente. Con fuerzas laborales grandes y distribuidas que operan en múltiples mercados, las condiciones de riesgo internas están estructuradas: desarrollar capacidades continuas de gestión de riesgos no es opcional.
Una forma diferente de pensar el riesgo cibernético
La narrativa en torno a la ciberseguridad ha estado moldeada durante mucho tiempo por el concepto de eventos catastróficos. Si bien esos eventos siguen siendo importantes, ya no son la única, ni siquiera la principal, fuente de riesgo para muchas organizaciones.
En APAC, los eventos impulsados internamente ocurren con mayor frecuencia, y esa frecuencia es lo que los hace significativos. Cuando una organización promedio en la región experimenta alrededor de ocho incidentes de este tipo por mes, el impacto financiero y operativo acumulativo crece exponencialmente antes de tener en cuenta el escrutinio regulatorio luego de exposiciones cada vez más repetidas.
Ya no existe la duda de si un evento sucederá. Con qué frecuencia ocurre y qué tan bien preparadas están las organizaciones para gestionar el impacto cuando sucede. Las empresas que lo gestionen bien no serán necesariamente las que tengan los mayores presupuestos de seguridad. Serán aquellos que traten el riesgo interno como un desafío continuo y en evolución: invirtiendo en visibilidad, cultura y controles que reduzcan la exposición antes de que ocurran los eventos, no simplemente reaccionando después.
Las organizaciones que tendrán éxito no serán aquellas que simplemente prevengan incidentes, sino aquellas que comprendan y gestionen el riesgo como una parte integral y en evolución de hacer negocios.
Porque en el entorno actual, la valoración del riesgo interno no se define por un único momento de falla. Ese momento se define por cuantas veces se repite.
Enumeramos las mejores herramientas ITSM para que mejorar la gestión de sus servicios de tecnología de la información sea simple y fácil..
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
