OpiniónCiberseguridad

Responsabilidad compartida

Domingo cardona Cano, CEO de Wise Security Global, habla del gobierno y gestión de la ciberseguridad en el maremágnum digital.

Domingo Cardona Cano, CEO de Wise Security Global
Domingo Cardona Cano, CEO de Wise Security Global

La vertiginosa transformación digital nos ha llevado a un maremágnum de herramientas y aplicaciones de tal envergadura, que la gestión de la ciberseguridad ha alcanzado un estatus crítico, que complica el futuro de cualquier organización.

Estamos inmersos en un ecosistema imparable, no hay marcha atrás y es preciso, necesario y acuciante tomar el control en el gobierno y gestión de la seguridad de este hábitat digital.

El primer paso imperante es un cambio de mentalidad en las organizaciones, porque la suma de pequeñas vulnerabilidades y debilidades desembocan inevitablemente en un gran problema de seguridad. De esto no se salva nadie: grandes organizaciones, pymes e incluso usuarios a nivel doméstico, debemos estar preparados para hacer un uso de la tecnología en entornos confiables y seguros. Insisto en que un problema de ciberseguridad deriva en un gran problema de negocio, de procesos, de operativas, de funcionamiento, de actividad y de confianza. ¿Y qué somos sin la confianza de nuestros clientes?

Tradicionalmente se ha concebido la ciberseguridad como una responsabilidad descargada en aplicaciones diseñadas para proteger y que son administradas por personal de IT en la mayoría de los casos. Así, son los propios profesionales de IT los primeros que toman consciencia del cambio de paradigma en el que nos encontramos frente a la ciberseguridad.

Formación y concienciación

Sin embargo, esta responsabilidad va aumentando cotas y abarcando más y más áreas de una misma empresa. En este cambio de necesidades y de mentalidad, el primer requisito debe ser la formación. Hay que formar y capacitar tanto en el uso seguro de las herramientas digitales como en el uso de herramientas de seguridad, pero también en los roles y responsabilidades de cada cual en cuanto a riesgo IT y ciberseguridad se refiere. Esta formación no debe dirigirse únicamente a las áreas directamente implicadas en la operación de la seguridad informática, sino a todas las que conforman una empresa. No avanzaremos con paso firme si protegemos los sistemas, pero no corresponsabilizamos ni educamos en ciberseguridad a nuestros propios directivos y resto de empleados.

Y este avance firme, real y consistente exige con urgencia la adopción de modelos de responsabilidad corporativa que entiendan que para gestionar la ciberseguridad es necesario contar con un modelo de gobierno que incluya la corresponsabilidad de la gestión del riesgo IT y de la ciberseguridad como uno de sus pilares fundamentales. No obstante, las organizaciones no son todavía plenamente capaces, de manera autónoma, de implementar un modelo y estrategia de ciberseguridad que involucre de manera suficiente y necesaria a todas las áreas y procesos de una organización, y deben pedir ayuda fuera, a las empresas especializadas en ciberseguridad.

Las corporaciones pueden implementar por su cuenta una serie de acciones de base: Identifiquemos a los propietarios de nuestros sistemas críticos y corresponsabilicémosles de su ciberseguridad. Documentemos las políticas de ciberseguridad de la empresa, creemos guías y protocolos de actuación y démoslos a conocer a todos los empleados. Hagamos cumplir las buenas prácticas de gestión de contraseñas seguras, enseñemos a nuestro equipo humano a implementar el doble factor de autenticación para acceder al email corporativo u otros servicios cloud. Capacitémosle en el buen uso de dispositivos móviles, realicemos backups periódicos, instalemos software antimalware avanzado (EDR) en todos los sistemas que lo permitan y controlemos la ejecución de aplicaciones desconocidas y el uso de USB… ¿Todo esto? Sí, todo esto y más, mucho más.

Es por ello por lo que, para conseguir una correcta y ordenada implantación de la ciberseguridad en nuestras organizaciones, resulta necesario, además, contar con profesionales que dispongan de una visión y experiencia suficientes en el manejo de modelos de gobierno y gestión de la ciberseguridad. Y que, a su vez, consideren a todos los empleados no como meros usuarios finales, sino como valiosos aliados a tener muy en cuenta en nuestra estructura de ciberseguridad. Cada cual con su parte de responsabilidad.

Computing 795