Cyberseguridad: Mandamientos y pecados

Las organizaciones se enfrentan hoy a varios desafíos en búsqueda del camino hacia la digitalización de su negocio.

En este contexto, la debilidad en ciberseguridad se considera una “enfermedad silenciosa”, tal vez metafóricamente comparable con la hipertensión arterial y la diabetes, que si no se trata a tiempo puede ser letal en estos tiempos que corren.

Te puede interesar: Conoce los 5 hallazgos clave del Global Cloud Computing Scorecard 2018

El más reciente informe de Ciberseguridad de Cisco echa luz sobre el panorama de las amenazas y el comportamiento que están tomando los que intentan defenderse. Con cierta licencia poética nos permitimos abordar la postura de ciberseguridad en un juego de Pecados y Mandamientos, como recomendaciones para quien pudiera estar un poco a ciegas en el tema aún sin saberlo.

Comencemos por los “Pecados Capitales” que solemos cometer y que pueden costarnos tiempo, productividad y dinero.

1. Pereza

Con frecuencia escuchamos decir que lo urgente prevalece sobre lo importante y es posible que, si eso ocurre con frecuencia y no como evento, estemos en medio de una atmósfera desorganizada o con responsabilidades no asignadas específicamente.

En cualquier momento, las consecuencias de un ciberataque serán ineludibles. La pereza es a su vez el mayor enemigo de las tareas de planificación, documentación y buenas prácticas que suelen ser tediosas y por ello caen en las garras de la procrastinación.

2. Soberbia

“No me va a pasar”, “Si sucede, yo sé cómo resolverlo”, “Mi sistema es invulnerable”. A menos que se desconecte, todos estamos expuestos y somos blanco de un ataque cibernético.

La seguridad efectiva no se logra con héroes “que lo tienen todo bajo control” e intentan resolver todo lo posible “in-house”.

3. Gula

Con el afán de robustecer la seguridad, muchas organizaciones, en especial las que tienen la posibilidad y conciencia para abrir la billetera a la hora de invertir en tecnologías de defensa, han sucumbido ante la “gula” de consumir más productos de seguridad de los que su “cuerpo humano” de operadores de la seguridad pueden “digerir”.

4. Envidia

Ahora  toda empresa, pequeña o grande puede construir una estrategia tecnológica adecuada siempre y cuando sepan escoger las herramientas correctas y fundamentalmente a través de una buena evangelización interna sobre lo que hace falta y el impacto al negocio.

5. Ira

Un incidente de seguridad, y el consiguiente tirón de orejas, puede derivar en acciones restrictivas casadas por el enojo. Por ejemplo, limitar accesos de forma excesiva e indiscriminada, afectando la productividad de los empleados…sin pensar que las restricciones se inventaron para ser salteadas.

6. Lujuria

Aquí, lo más parecido a la lujuria se ve en los (pocos) casos en que se implementan soluciones excesivamente sofisticadas y costosas pasando la línea de lo razonable en función del riesgo afrontado y el contexto del negocio a proteger.

7. Avaricia

Olvide el concepto “hecho en casa” en el tema de ciberseguridad. Su negocio es otra cosa. Y, créalo: hay presupuesto para todo. No es un gasto, es una inversión que le permitirá seguir funcionando y permaneciendo operativo y productivo. Capacite y entrene a su personal, prepare las defensas porque los incidentes están a la orden del día.

Los resultados arrojados por el informe de Cisco 2018 sobre Ciberseguridad refleja que cada vez son más las empresas que están siendo dirigidas por personas que son conscientes de la necesidad de blindar los sistemas y procesos de posibles ciberataques y estar preparados tanto administrativamente como en capacitación de recursos humanos prestos a responder ante eventuales situaciones de riesgo.

MANDAMIENTOS / PRINCIPIOS

1. LA SEGURIDAD DEBE SER UN HABILITADOR

Esto es es importante en estos tiempos donde las empresas están atravesadas por la digitalización y están cambiando la forma de interactuar con sus clientes, y de operar de forma móvil, virtual, en la nube, cambiando el contexto a proteger y generando nuevas superficies de ataque para los adversarios.

2. LA SEGURIDAD DEBE SER INTEGRADA Y USABLE

Si concebimos la seguridad como un habilitador de negocios y no una experiencia traumática, entonces estaremos frente a un proceso diseñado para que las personas puedan usarlo sin complicaciones y que las conduzca a la facilitación de su labor, desde lo más sencillo como los pasos de autenticación, hasta los accesos más privados

3. DEBE SER TRANSPARENTE E INFORMATIVA

El sistema de seguridad debe permitir que la experiencia sea segura y que el usuario sea consciente de ello, que no le agregue fricción o duda. Según el reporte de Ciberseguridad de Cisco 2018, en Latam, más del 70% de las empresas considera que esta cultura organizacional es ya un hecho.

4. QUE HABILITE VISIBILIDAD Y RESPUESTA

Se deben usar tecnologías que permitan ver lo que está pasando, detectar situaciones y tomar acciones de respuesta, conteniendo las amenazas y remediando al fin el incidente.

5. LA SEGURIDAD ES UN PROBLEMA DE PERSONAS

En el trinomio Tecnología + Personas + Procesos que define toda estrategia de seguridad cada uno de los tres elementos comparten fundamental importancia. Sin embargo, el elemento humano es muchas veces menospreciado en favor de las tecnologías y los procesos.

Aquí debemos desafiar esa postura porque justamente suele ser el aspecto humano el eslabón más débil en la seguridad, tanto desde el punto de vista del usuario como de los responsables y operadores de la seguridad.

No dejes de leer:

Colombia.com