En un mundo cada vez más digital, las organizaciones se enfrentan a amenazas de ciberseguridad cada vez más sofisticadas. A menudo, deben utilizar datos confidenciales en sus aplicaciones para poder operar y llevar a cabo de manera efectiva sus objetivos de negocio. 

Proteger estos datos debe ser una alta prioridad, ya que estos son uno de los principales activos que tienen las empresas  hoy en día, tanto en la confidencialidad, es decir, evitando que ninguna persona no autorizada pueda leerlos, como también en la integridad y disponibilidad del dato, en otras palabras, que no se puedan modificar, destruir, o poner fuera de servicio.Dichos datos se vuelven aún más críticos a medida que las organizaciones continúan transformándose digitalmente para brindar nuevas innovaciones y capacidades a sus usuarios. 

Según un estudio de Sumsub, el fraude está aumentando en la región, con un incremento del 30% entre 2022 y 2023, siendo que la amenaza se ve agravada por el aumento de los fraudes cometidos por malos actores aprovechando nuevas capacidades de la inteligencia artificial generativa, tales como la clonación de voz, los deepfakes donde se reemplaza una cara por otra, y avatares que crean  un clon digital de la persona y luego permiten generar videos en los que, solo escribiendo un texto, se muestra a la persona diciendo dichas palabras. En Perú, el índice de fraude es de 1,3%,  lo que hace imperativo que las organizaciones cuenten con medidas sólidas de ciberseguridad para ayudar a mitigar las amenazas cibernéticas. 

A continuación, se presentan cinco consejos que todas las organizaciones deben seguir para salvaguardar sus datos personales. 

1. Crear un robusto programa de concientización para sus empleados — La mejor forma de no caer en engaños es conocer cómo funcionan y qué es posible hoy en día con la IA Generativa. Las organizaciones deben tener una política de seguridad documentada y explicar que se espera de cada empleado en el programa de concientización, de modo que todos los trabajadores  estén en la misma página y tengan un punto de referencia claro para cualquier consulta. La política debería delinear claramente las expectativas y el deber de todos de adherirse a los estándares colectivos requeridos para mejorar la ciberseguridad, ya que la seguridad es una responsabilidad de todos, no solamente del equipo de Seguridad. La política debe comunicarse claramente en toda la organización y ser fácilmente accesible a través de los sistemas internos. 
2. Requerir credenciales únicas para los inicios de sesión corporativos: esto es algo que todos damos por sentado en nuestra vida personal, pero es imperativo, para mantener a raya a los posibles malos actores, que no se utilicen las mismas contraseñas para acceder a recursos corporativos que a páginas que los empleados ingresan por motivos personales. Se les debe exigir en los sistemas corporativos una contraseña robusta, tanto en longitud como en complejidad, al menos 8 caracteres con números/mayúsculas/símbolos. Esto dificulta que malos actores puedan adivinar la contraseña, o probar todas las potenciales combinaciones (Fuerza bruta). 
3. Restringir los permisos y límite quién puede acceder a privilegios de administrador: obviamente es importante contar con los permisos necesarios del sistema de TI para que sus empleados trabajen de manera efectiva. Sin embargo, las organizaciones deben recordar que otorgar accesos innecesarios aumenta el impacto ante un incidente de ciberseguridad. La mejor práctica consiste en asegurar que todos los empleados sólo reciban los privilegios necesarios para su función de negocio. Para comenzar, las organizaciones deben auditar los privilegios existentes, establecer un proceso para el otorgamiento de cualquier nuevo permiso donde existan aprobaciones y controles, y realizar revisiones de acceso periódicas. 
4. Realizar copias de seguridad de sus sistemas en la nube: el uso de copias de seguridad (backups) en la nube es un paso crucial para proteger los datos de la organización que tienen su información almacenada localmente (on-prem), permitiendo la recuperación de los datos en caso de destrucción o cifrado por parte de un atacante que busque extorsionar con pagos de rescate. La nube simplifica la toma de backups, y el restablecimiento de las operaciones en caso de que los malos actores comprometan la información almacenada localmente. Los respaldos en la nube proporcionan mayor durabilidad y resiliencia, de modo que los datos no se pierden por una cinta vieja, y evita que adversarios puedan eliminarlos junto con sus backups. 
5. Fomentar una cultura donde cada uno se sienta responsable en parte por la seguridad, y pueda reportar incidentes sin miedo — El sustento de todas estas recomendaciones es la cultura. La cultura de ciberseguridad de una organización debe fomentarse a través de un ambiente inclusivo y seguro, evitando buscar a quien echarle la culpa cuando las cosas van mal o cuando se reportan incidentes que resultan ser falsos. Es preferible investigar 100 veces casos que no fueron nada que  perderse el reporte de algo que sí debía ser investigado. Los métodos tradicionales en capacitación de  seguridad son cada vez más obsoletos, ineficaces y hasta potencialmente problemáticos porque pueden generar una falsa sensación de seguridad.  Las organizaciones deben concentrarse en impulsar una mayor conciencia y mejorar la capacitación conductual para promover  cambios positivos entre sus empleados, fortaleciendo así la ciberseguridad colectiva. Si la organización cuenta con  desarrolladores, ellos deben aprender prácticas de desarrollo seguro y preocuparse por que su código no incluya vulnerabilidades, en lugar de depender únicamente de una revisión posterior del equipo de seguridad.

Los controles robustos de ciberseguridad ya no son un “nice to have” para las organizaciones. En un mundo cada vez más digital, nuestra huella y datos personales se vuelven nuestros activos más valiosos . Las organizaciones pueden ayudar a mitigar riesgos siguiendo los cinco principios rectores mencionados anteriormente. Ponerlos en acción, en combinación con un fuerte apoyo desde el liderazgo de la organización (CEO / CIO) y fomentando una cultura de seguridad bien comprendida  y ampliamente adoptada entre los empleados, ayudará a cualquier organización a mejorar su madurez en ciberseguridad. 

Cuando los líderes de la organización establecen a la seguridad como la prioridad, se resuelven muchos conflictos de intereses y se reducen los riesgos. La ciberseguridad va más allá de  solo de comprar tecnología, implica una estrategia integral y compromiso organizacional.