Construyendo cultura de seguridad en las organizaciones

Después de un 2013 en el que las palabras Ciber-espionaje (estado-nación), Ciber-crimen (grupos criminales) y Ciber-hacktivismo (hacktivistas / terroristas) fueron protagonistas de escándalos y fraudes millonarios que afectaron y alertaron a la sociedad global como lo fueron el caso Snowden y el fraude millonario a cientos de clientes de la tienda Target , resulta oportuno e imperativo repensar la estructura de seguridad de las organizaciones. Especialista de Seguridad Cisco, Yair Lelis

Cisco-Seguridad-FDG

 

Después de un año con grandes implicaciones para la ciber seguridad en el mundo, con eventos y divulgaciones que han sacudido y cuestionado profundamente las prácticas de seguridad a diferentes organizaciones, se debe plantear la necesidad de volver a revisar las políticas de protección y administ ración de la información bajo las cuales se encuentra regidas, aún más, de preguntarse si al menos existe una cultura de seguridad en las organizaciones que permita proteger mejor ante una contingencia de este tipo.

Hoy en día nos enfrentamos a las tres Hidras de la ciber-seguridad:

ß Ciber-espionaje (estado-nación)

ß Ciber-crimen (grupos criminales)

ß Ciber-hacktivismo (hacktivistas / terroristas)

Ya sea por motivos económicos o sociales, estas amenazas son reales y cada vez más cercanas a nuestra vida cotidiana. A este de por sí ya complicado panorama, se suma la posibilidad de que en cualquier momento nuestra información personal, contraseñas, fotos o demás materiales puedan aparecer publicadas en algún sitio sin nuestro consentimiento, provocando que rápidamente dejemos de pensar en la seguridad como un problema ajeno, más aún si tomamos en cuenta que a futuro absolutamente no vemos una disminución en este tipo de incidentes.

Parafraseando a un destacado criptógrafo y especialista en seguridad, Bruce Schneier, podemos afirmar que si pensamos que la tecnología puede resolver todos los problemas de seguridad, entonces no entendemos cuáles son esos problemas y mucho menos entendemos la tecnología, ya que aun contando con soluciones de siguiente generación, no existe una política, producto o metodología de seguridad capaz de evitar un ataque si no reforzamos nuestra última línea de defensa, que usualmente es la más débil y por ende la más atacada, la interfaz humana. De ahí la imperiosa necesidad de desarrollar y vivir  una cultura de seguridad que lejos de ser vista como un obstáculo para lograr los objetivos de cada organización, sea un habilitador para el éxito de la misma. El gran reto que tenemos frente a nosotros es cómo definir una cultura de este tipo ligada primordialmente a la estrategia de la organización pero cercana al usuario, su educación, entrenamiento y respuesta a incidentes. En Cisco estamos convencidos de que la cultura de seguridad es un compromiso de cada uno de los integrantes de una organización y una obligación que debe permear todas las capas de la misma, empezando por el CEO. Sin duda, es parte fundamental de nuestro ADN y cultura corporativos en la que todos podemos contribuir para seguir desarrollando esa conciencia que nos permitirá proteger de mejor forma nuestros activos más valiosos: La información.

Dado el complicado panorama de amenazas y tomando en cuenta que en seguridad no existe una sola receta para el éxito, les compartimos 10 sugerencias para desarrollar una cultura de seguridad en sus organizaciones:

1. Una cultura de seguridad inicia con el CEO o la persona de mayor rango y su

ejemplo al resto de la organización.

2. Debe existir un líder dentro de la organización dedicado al desarrollo de esta nueva

conciencia.

3. Es indispensable conocer el nivel de conciencia de seguridad actual antes de

proponer una estrategia.

4. Para permear esta nueva cultura se requiere un alto nivel de relacionamiento con

todos los niveles de la organización.

5. Desarrollar “Embajadores de la Seguridad” con la credibilidad suficiente para

actuar como referentes y evangelizadores ante la organización.

6. Crear vehículos de comunicación cercanos a la organización y aprovechar los

eventos especiales para transmitir el mensaje de forma masiva.

7. Es importante aprovechar a los influenciadores para dar credibilidad al mensaje.

8. Cada mensaje debe ser claro, corto y contundente.

9. Los premios y reconocimientos son un medio perfecto para motivar un cambio de

cultura dentro de la organización.

10. La educación y entrenamientos sólo sirven si el mensaje es tan fuerte como para llevarlo a la práctica.

Finalmente, para que todo esto funcione debemos tomar en cuenta que la cadena de seguridad es tan fuerte como el más débil de sus eslabones, por lo tanto está en cada uno de nosotros fortalecerla y vivirla cada día a través de mejores prácticas que nos lleven un poco más cerca de esa meta hacia un mundo más “ciber-seguro”.

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *