Cuando de riesgos de ciberseguridad se trata, contar con una avanzada tecnología es esencial, pero para bien y para mal, la gente es quien representa siempre la mayor fortaleza o amenaza, aun cuando se contraten los servicios profesionales de una compañía o a especialistas directamente. La experiencia nos ha demostrado que no basta con tener expertos en ciberseguridad, debemos pensar más allá, en que es un tema que abarca e involucra a todos los colaboradores de la organización.
Encontrar un equilibrio entre la seguridad de la información que se maneja en una organización y por otro lado la cultura organizacional -que hoy más que nunca demanda confiar en la gente- es un reto monumental, que requiere de mucha dedicación al momento de diseñar la estrategia de gestión de capital humano.
En tiempos de pandemia y en el -ya no tan nuevo- modo de trabajo remoto, las amenazas a la seguridad se han incrementado drásticamente y parece que la tendencia no será a la baja.
Síguenos en Google Noticias para mantenerte siempre informado
Existen directores generales de empresas que creen que, al tener los equipos más sofisticados, el software de última generación, Inteligencia Artificial, procesos burocráticos muy elaborados, políticas y reglamentos, por sólo mencionar algunas medidas, son suficientes para cubrirse de posibles ataques o fraudes cibernéticos. Temo decirles una dura realidad: esa es sólo una parte de la ecuación, y lo han aprendido a la mala muchas renombradas organizaciones tanto en el ámbito de la iniciativa privada, el gobierno y en distintos lugares del mundo. La otra parte de la ecuación que es igual o más importante que la de la tecnología, tiene que ver con el ser humano y su comportamiento.
Las personas al principio y al final del día, son las responsables de mantener “vivo” todo sistema de seguridad y cuando lo vemos, la seguridad institucional también está estrechamente vinculada a las prácticas de seguridad informática que usamos todas las personas.
Cuando sucede una intrusión -siendo México el 9º país a nivel global con más ataques por Malware (Kaspersky)-, las empresas tardan más de 200 días en detectarla, tiempo que fue suficiente para que el “hacker” logre su objetivo, que va desde el robo de claves de acceso, identidad, información confidencial o incluso robar bases de datos y pedir “rescate” a la compañía por recuperarla bajo la amenaza de hacer mal uso de la misma. Y generalmente, después de ese largo período, tardan más de 90 días en “limpiar” el rastro que deja en la empresa, y si la filtración fue dada a conocer públicamente, le toma muchos años en borrar la mala reputación que le genera, así como recuperar la credibilidad y los negocios que en muchos casos se pierden.
Sigue la información sobre la economía y los negocios en Forbes México
Así pues, generalmente se buscan “culpables” en una intrusión y vemos una gran rotación de personal en puestos de Directores de Seguridad de la Información, CISOs (Chief Information Security Officer) -18 meses en promedio[1]-, aunque hay que resaltar que son muy pocas las organizaciones que tienen dicho rol y una persona dedicada a él, ya que generalmente recae también en las manos del responsable de Tecnologías de la Información (CIO).
Es evidente que una situación de riesgo muy pocas veces es responsabilidad de una sola persona. Cuando se subcontratan servicios de ciberseguridad el riesgo disminuye, sin embargo, toda organización seguirá siendo objeto de ataque, y cuando estos riesgos se materializan, generalmente es responsabilidad de toda la organización, desde arriba hasta abajo. En ciertas formas de ataque, por ejemplo, se han registrado llamadas a los guardias de seguridad para obtener información, por lo que la afectación puede ser en cualquier nivel o función, inclusive cuando se abre un correo electrónico infectado o se utilizan dispositivos de almacenamiento externo como los USBs, o todos aquellos que dejan su clave pegada en un papel adhesivo junto a su computadora, entre otros.
La cultura organizacional que es bien trabajada puede ser un arma muy poderosa para mitigar riesgos de acceso, ya que una persona que tiene un mayor índice de satisfacción con su trabajo es más propensa a seguir instrucciones de seguridad y viceversa para ayudar a blindar a la organización donde labora. Por otro lado, una organización que además de tener la tecnología adecuada, invierte en su gente, en su capacitación y motivación; en difundir videos informativos cortos y al alcance; que cuenta con programas de gestión del cambio y con un departamento de comunicación interna bien alineado con las áreas de seguridad, es muy probable que pueda enfrentar riesgos de forma exitosa.
Cuando la Dirección General y Recursos Humanos son quienes personalmente se involucran en las acciones de prevención de riesgos de ciberseguridad y lo trasladan a casos de negocio, y donde se invierte no sólo en el eslabón de la tecnología sino también en el de la gente, es cuando podemos hablar de una empresa realmente protegida.
¿Qué tan protegida se encuentra tu organización?
[1] Thycotic Global Survey Aug 2019
Contacto:
*Alejandro López de la Peña es Ingeniero en Sistemas Computacionales por el ITESO. Actualmente se desempeña como Director General de T-Systems México
LinkedIn: Alejandro López de la Peña
Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes México.
