Situación
La seguridad de la información está siendo un tema muy relevante desde hace un tiempo en nuestro país. Esto se debe a la creciente difusión de filtraciones y ataques que han tenido éxito en distintas empresas, organismos e instituciones del estado. Basta con hacer una búsqueda en Google para encontrarse con que abundan las noticias y pareciera que no se está del todo preparado para afrontar los retos actuales de la ciberseguridad.
Todas las situaciones recientes no solo generan caos, sino que embarcan a las distintas organizaciones en cambios drásticos. No hay mejor incentivo para las mejoras en seguridad que ataques exitosos y más si se hacen públicos. Análogamente todos saben de algún vecino que ahora tiene rejas y antes no las tenía.
Asimismo, es importante destacar que los roles de seguridad, aquellos encargados de proteger las empresas de los ciberdelincuentes cuentan con algunas peculiaridades que los convierten en posiciones difíciles frente al negocio.
Los controles de seguridad
La implementación de controles de seguridad implica por definición un cambio, y por lo general es muy difícil generar cambios sin fricción en la operativa, sobre todo si son de seguridad. Esto genera que los responsables de la protección no sean de los más queridos ya que suelen ir en contra de las facilidades que ya existían. Al igual que en la construcción, es muy probable que hace años los obreros trabajaran sin casco, sin dudas más cómodo, pero hoy es impensable permitirlo.
En ocasiones se decanta en el exceso y el negocio termina trabajando para la seguridad y no al revés; se pierde de vista el objetivo principal de la organización sea cual sea. No hay que olvidar que la seguridad debe apoyar al cumplimiento de los objetivos organizacionales, ya que sin el negocio no hay nada que asegurar. No se puede impedir que las personas circulen por la vía publica por el riesgo de accidentes de tránsito, lo que se hace es construir semáforos que ayudan a cumplir el objetivo de circulación de forma segura.
Proporcionalidad
Si la seguridad trabaja para el negocio, pero es irrealista tampoco es útil. Al igual que en cualquier otro aspecto de la vida, se debe ser proporcional, en este caso al riesgo. Idealmente no se puede negar que sería muy bueno contar con las mejores tecnologías y los procedimientos más robustos, sin embargo, puede que el riesgo no amerite la inversión de tiempo y dinero que implican implementar el control. Podemos pensar que sería bueno tener una puerta blindada en nuestro hogar, sí, lo sería, pero eso no hace que sea factible y tenga sentido en la mayoría de los casos.
El negocio, el negocio, el negocio. El negocio es lo primero. En muchas ocasiones puede entenderse que, si el costo de una iniciativa de seguridad está por debajo del riesgo, entonces es factible implementarlo. Esto es correcto, siempre y cuando se contemplen todos los costos de implementación como monetarios, operativos, organizacionales, mantenimiento, etc. Como bien se puede intuir, todos esos aspectos que conforman al costo también forman parte del negocio y no se puede permitir impactarlos sin una buena razón.
Cultura de la organización
Una vez alguien dijo que, si uno no se adapta a la cultura organizacional, esta lo devora. Frase que está orientada a la adaptabilidad de los individuos, no obstante, todos podrán recordar aquella iniciativa o área nueva dentro de una organización que no prosperó, que era muy ambiciosa o no se adaptaba.
La ciberseguridad debe adaptarse porque sino la cultura organizacional la devora. Es un acuerdo mutuo en el cual la seguridad debe adaptarse más. Es en la adaptación donde se encuentra el éxito de la protección, en lugar de oponerse al funcionamiento actual, se debe acompañar al cambio.
Se debe cambiar la forma en la que se observa la seguridad en las organizaciones. Si se hace bien no son trabas, son apoyos. Más que cortar el camino debe ser la vaya que lo limita e impide desbarrancar. Por el negocio y para el negocio, la seguridad que se necesita no genera incomodidades, sino que da tranquilidad.