Gina Van Dijk, Directora Regional de (ISC)² América Latina, nos hace llegar una reflexión sobre dos pasos básicos que debemos dar para lograr una cultura de seguridad robusta en nuestras organizaciones
En un mundo en el que la tecnología y los negocios están cada vez más asociados, es indispensable que las empresas de todas las áreas construyan estrategias de seguridad alineadas con la realidad de la Era Digital, protegiéndose de amenazas cibernéticas. Sin embargo, no basta solo tener una estrategia de seguridad de TI. Es necesario que la estructura tecnológica esté debidamente configurada y actualizada; y que la empresa como un todo siga protocolos de protección, bajo la orientación de profesionales certificados en seguridad de la información.
La cultura de seguridad de una organización se compone de la mentalidad y de los hábitos difundidos por sus profesionales, ya que las iniciativas pueden tener un amplio impacto sobre la preservación de la empresa como un todo. Los hábitos, en este caso, previenen y protegen contra las amenazas externas e, incluso, internas causadas muchas veces por empleados con malas intenciones. La mentalidad consolida estos hábitos, creando una dirección sobre la manera que los equipos realizan tareas importantes para su protección. Construir una fuerte cultura de seguridad, por lo tanto, significa presentar acciones y metas para incentivar a los empleados a cambiar su comportamiento, adoptando procedimientos recomendados para la seguridad de la empresa y evitando acciones que pueden colocarla en riesgo, como la instalación de un virus o de un malware.
Para desarrollar esta cultura, existen dos pasos esenciales a ser tomados por los líderes empresariales. El primer paso es crear una política de seguridad que defina y oriente todas las prácticas y procesos de protección a ser seguidos dentro de las organizaciones. El segundo paso a adoptar es garantizar que estas reglas de conducta se comuniquen, difundan y las entiendan en todas las áreas de operación. Vale decir, también, que estas etapas se deben coordinar e implementar en conjunto para generar los efectos esperados.
El éxito depende de la adhesión del alto comando de las empresas, en los niveles superiores de la pirámide de liderazgo, pero el modelo necesita ser seguido por todos los niveles, incluso por el profesional junior del equipo. Por eso, es esencial contar con un equipo certificado y capacitado para identificar riesgos, entender potenciales fragilidades y ajustar constantemente los procedimientos de seguridad, pues las amenazas cambian y avanzan en la misma velocidad que las barreras de protección.
Otro punto importante es que el tema de la ciberseguridad se discuta con frecuencia en el Consejo de Administración de las organizaciones y esté presente, también, en la estrategia de negocios. La definición de las acciones relacionadas con la política de seguridad estará cada vez más bajo la responsabilidad de profesionales conocidos como CSO (Chief Security Officers). El desafío de estos ejecutivos es prever ataques antes que sucedan y, en el caso de una invasión, crear mecanismos de respuesta que sean rápidos y asertivos para evitar invasiones y pérdidas de datos que coloquen en riesgo los negocios de la organización.
Estudios internacionales revelan que la política de seguridad debe definir todas las bases y requisitos de protección, así como prever cómo la empresa funcionará frente a las amenazas y los ataques que eventualmente pueden retirar sus sistemas del aire o robar su información.
Los riesgos tienden a aumentar con nuestra dependencia digital y con el surgimiento de un número cada vez mayor de dispositivos. En dos años, serán 20 millones 400 mil ‘cosas’ conectadas, conforme lo estima la consultora Gartner. Además de ello, con la flexibilización del ambiente de trabajo, la tendencia es que las personas utilicen sus propias computadoras personales y celulares para el trabajo. El BYOD (Bring Your Own Device) está trayendo nuevos desafíos de seguridad a las empresas. Por eso, orientar y dividir la responsabilidad entre todos es fundamental, a fin de cambiar malos hábitos por actitudes que ayuden a mejorar la seguridad digital de los negocios.
En este panorama de continua transformación es fundamental construir políticas de seguridad bien diseñadas y aplicadas. Hemos acompañado varios casos de empresas de diferentes sectores que enfrentan serios problemas por fallas de seguridad. Y, como dice el dicho, más vale prevenir que lamentar.