Opinión

La Ciberseguridad no es un problema de TI

Hace poco leí esta frase de Edwards Deming: “Un mal sistema le ganará a una buena persona cada vez”. Me pareció que no podía resumir mejor las enseñanzas de este gurú de la calidad cuyas ideas siguen siendo relevantes con el paso de las décadas. ¿Qué tiene que ver esto con la Ciberseguridad? Diría que mucho. Se suele creer que basta con dejar el tema a cargo de un área de la organización y esperar algún tipo de resultados sin hacer mayores cambios en la forma de hacer las cosas de la empresa. La Ciberseguridad, muchas veces se deja a cargo de TI, en lugar de formar equipos con conocimientos especializados. Pero además de poner al profesional idóneo en el rol adecuado otro problema de fondo es que un área de la empresa no logrará por si misma crear una diferencia significativa si la organización no está dispuesta a cambiar. ¿Y quiénes deben ser los principales agentes de cambio? Quienes dirigen una empresa. Es decir, el CEO, gerente general, altos ejecutivos y directivos, según sea su estructura de gobierno.

Carolina.jpg

Los procesos de Ciberseguridad deben ser transversales. Es decir, afectarán a otras áreas de la organización. Por lo tanto, debe haber un dialogo que se fomente desde la cúpula. También puede suceder que algunos controles de seguridad obstruyan el desempeño y eficiencia de ciertos procesos.

 

Para enfrentar esto puede que se deba llegar a soluciones intermedias o que alguna de las dos partes tenga que ceder. Esto debe obedecer a las prioridades de la empresa y necesidades del negocio. En otras palabras, se deben alinear procesos de seguridad con los objetivos de negocio y para ello se necesita que los actores adecuados se involucren. 

La asignación y distribución de recursos para la gestión de la Ciberseguridad es también un aspecto relevante por el cual es importante la perspectiva del negocio. Los principales recursos en los que se debe considerar invertir son: personas, procesos y herramientas. Esto implica crear roles apropiados y tener personal suficiente y capacitado y generar mecanismos de prevención, detección, defensa, recuperación y continuidad operacional. Para ello, contar con herramientas apropiadas de hardware y software es importante. Pero no lo son menos las políticas, prácticas, procedimientos y protocolos de seguridad. Y por supuesto, las personas y su conocimiento.

Ante la pregunta de cuánto presupuesto asignar, el retorno de la inversión (ROI) es para muchos un parámetro aceptable para medir cuanto invertir en la mitigación de un riesgo. Si aplicar ciertos controles de Ciberseguridad va a costar más que un potencial ciber-ataque, la decisión de muchos será asumir el ataque. ¿Pero cómo se está midiendo eso? (Suponiendo que se esté midiendo). ¿Se están estimando bien los impactos directos e indirectos de un incidente? ¿Se conoce realmente el nivel de vulnerabilidad de la empresa y toda la gama de ataques a los que está expuesta? ¿Se están subestimando la probabilidad de un evento grave? En otras palabras: ¿Se está haciendo algún tipo de análisis de riesgos? Cuando no se hace un análisis sistemático y pertinente de los riesgos se tiende a subestimarlos.

 

A mi entender, la Ciberseguridad y la calidad tienen muchas cosas en común, comenzando porque los profesionales de estas áreas deben lidiar con barreras culturales y la creencia de que generan un gasto y no que entregan valor a un producto o servicio. Ambas son opciones que son consideradas caras. Sin embargo, en los dos casos, su ausencia puede ser aún más costosa.

contacto@cibertime.com
CiberTime - Todos los derechos reservados.