Hacer que la seguridad funcione / Por: Fernando Fuentes, Gerente de Investigación y Desarrollo de NeoSecure

 Fernando Fuentes, Gerente de Investigación y Desarrollo de NeoSecure  

Como si se tratara de un cuerpo que funciona en base a distintos sistemas, las empresas son entes complejos conformados por múltiples compañías con decisiones corporativas diferentes. Algunas son responsables de la administrar la tecnología de las otras, cuestión que resulta delicada, pues todas las áreas tienen sus prioridades y los incentivos no siempre apuntan a mejorar la seguridad de la información.

Existe tensión entre las áreas comerciales, que por ejemplo, ponen énfasis en sacar rápidamente un producto al mercado, y las áreas de seguridad, que quieren evitar el fraude, la fuga de información y el eventual daño en la reputación de la empresa, tareas que requieren la utilización de mayor cantidad de tiempo, provocando roces entre ambas pues los objetivos resultan ser distintos.

Igualmente, las áreas de telecomunicaciones y sistemas no quieren ser intervenidas, pues esto podría impactar en su disponibilidad. El responsable de la seguridad quisiera poner sensores y dispositivos de protección que ayuden a detectar abusos o derechamente ataques a los sistemas, pero no puede concretarlo porque resulta invasivo.

Sumado a estos verdaderos “tira y afloja”, las empresas en muchas oportunidades  incentivan la implementación de proyectos terminados, que poseen programas de seguridad de fácil ejecución, con el riesgo de que no sean suficientemente efectivos, especialmente si dichos proyectos no han sido producidos por las áreas de seguridad.

Para hacer que la seguridad funcione, en términos de que la exposición a las amenazas disminuya, existen algunas condiciones que deben ser cumplidas:

  1. Liderazgo y gobernabilidad dentro de la empresa: Esto implica tener entidades y personas con responsabilidades claras, poder de decisión en cuanto a contener cambios y asignar recursos para los requerimientos propios de los procesos de expansión.
  2. Compartir el diagnóstico del riesgo: En la medida que estemos de acuerdo en dónde está el riesgo, los desacuerdos van a quedar limitados a quienes los enfrentan y cómo. Para compartir un diagnóstico del riesgo, es necesario conocer la amenaza en detalle, comprenderla y tener antecedentes objetivos de cómo fue concebida esta amenaza. Esta información debe ser compartida dialógicamente para alinear a la organización.
  3. Acordar una línea base: Referida a un conjunto de controles de seguridad que la organización acuerda en mantener y que de alguna manera son compartidos con gran parte de la industria. Esta línea base establece el nivel higiénico de seguridad de la organización.
  4. Medidas a corto plazo y largo plazo. Comprender que en seguridad existe un trabajo de largo plazo, dónde están nuestras políticas y procesos y otro de corto plazo, gatillado por la necesidad inmediata de hacerse cargo de las amenazas emergentes.
  5. Compartir una aproximación de protección: Una vez que conocemos el problema, debemos buscar una forma común de identificar los controles más efectivos. Esto implica conocer la amenaza para así determinar la forma de contrarrestarla. 
  6. Contar con una mirada que nos permita identificar controles de seguridad que sean costo-efectivos y se complementen entre sí, además de conocer la naturaleza de los controles de seguridad, su vigencia  frente al peligro, para  complementar los controles que pueden haber quedado obsoletos.

Con esta pauta, seremos capaces de estar alineados institucionalmente, con lo cual contaremos con un modus operandi definido, que servirá como herramienta en combate al riesgo en todas las áreas. Por así decirlo, aseguraremos la seguridad, para que la empresa, al igual que un cuerpo saludable, tenga la inmunidad necesaria para hacer frente  a cualquier amenaza.