La Ciberseguridad como disciplina tiene mucho margen de mejora, para ello, debe empezar a ser considerada por los equipos directivos de las organizaciones como un área estratégica en la que es necesario invertir recursos.Permitiendo así poder disponer de los medios necesarios para hacer frente a los ciberataques. Si un atacante puede tener éxito en su cometido es básicamente porque la entidad atacada, voluntaria o involuntariamente, ha dejado una puerta abierta.
Se tiende a tener la sensación de que, al hablar de ataques cibernéticos, estos se producen porque el atacante, que se encuentra fuera del perímetro de seguridad de la organización objetivo, pretende sobrepasar las defensas del perímetro y acceder a las redes y sistemas internos de la organización. Sin embargo, esto no siempre es así,cuando el ataque se produce desde dentro del perímetro de seguridad, las barreras de seguridad preventiva no sirven más que para poder detectar una posible fuga de información.
Es por ello que no hemos de focalizar únicamente los esfuerzos en proteger nuestros sistemas de ataques externos, que también, sino que hemos de tomar las medidas necesarias para evitar la presencia de “empleados descontentos” que pueden ser el principal foco de problemas de seguridad generados desde dentro de la propia organización.
Desde el año 2017 hasta la actualidad se viene observando un cambio de estrategia por parte de los ciberatacantes que, según puede observarse en los informes emitidos por las principales compañías del sector, están empezando a abandonar los ataques ruidosos (con mucha repercusión mediática) para ir preparando ataques más silenciosos (sin tanta repercusión mediática pero igual de efectivos). Los perfiles de los atacantes han ido evolucionando, e incluso especializándose, en función de los objetivos perseguidos.
Entonces, ante la vista de esta especialización de los atacantes, y como consecuencia de los ataques, la pregunta a formular a las organizaciones que han sufrido, o sean susceptibles de ser objeto de estos ataques, es ¿por qué siguen manteniendo estrategias de protección tal y como venían haciendo hasta ahora con los sistemas de información tradicionales?
Esta falta de evolución, la falta de profesionales especializados en el campo de la ciberseguridad y el cambio de objetivo de los ciberataques, que ahora se centran en el phishing (suplantación de identidad), hace que las empresas contraten hackers éticos, aprovechando el elevado conocimiento de los sistemas de información y de la seguridad que pueden llegar a ofrecer, para que estos pongan a prueba las líneas de defensa implantadas por la organización, detectando, si fuera el caso, aquellas vulnerabilidades que presenten los sistemas de información, la infraestructura y la electrónica de red de la organización.
A pesar de esto, entre los profesionales que desarrollan tareas de ciberseguridad, existe una falta de formación que no les permite competir en condiciones parecidas a las que disponen los atacantes de los que deben proteger sus organizaciones y se está perdiendo la batalla frente a los cibercriminales.
Antes esto, solamente quedan dos opciones: formar a sus equipos de seguridad para que puedan alcanzar el nivel de conocimientos técnicos que tienen los hackers, o bien optar por la contratación en plantilla de personal altamente cualificado (hackers), aunque eso conlleva una fuerte inversión 
económica en ciberseguridad. O la contratación de hackers éticos para que sus equipos de seguridad puedan ir aprendiendo nuevas técnicas de mano de estos profesionales.
Sea bajo la forma que sea, lo que está claro, es que la ciberseguridad debe de empezar a ser tratada como un área crítica dentro de las organizaciones para poder mantener la confianza en nuestros productos y servicios.
Fuente: «Ciberseguridad y hackers» de Vicenç Oliveras, profesor de OBS Business School.
