Y la Ciberseguridad, ¡Oh! Es Tarea de IT Rberny 2023

Y la Ciberseguridad, ¡Oh! Es Tarea de IT.

Lo importante es ayudar a prevenir lo que humanamente sea posible y protegernos para no caer presa de las amenazas; agregando una capa de protección al enfoque de seguridad multicapa.

Hoy en día el tema de la ciberseguridad ya no nos toma de sorpresa, ni las noticias de vulneraciones, ni la enorme cantidad de dinero que se invierte para estar protegido, ni las decisiones que hay que tomar para mantener la continuidad el negocio, ahora lo más importante es que postura vamos a tomar para definir el plan estratégico de ciberseguridad, como vimos en otro artículo la figura del CISO nace para dar lugar al responsable de mantener la salud del negocio en cuando a su seguridad se refiere, en 22 años de experiencia recuerdo que por el año 2000, había una figura que se llamaba Oficial de Seguridad de la información, les voy a ser honesto en esa época llegue a pensar que era una exageración, no obstante hoy, es una necesidad.

Pues han pasado los años y durante este periodo fui testigo como la tecnología crecía a pasos pequeños primero, con decirles que a finales de los noventa no había casi antivirus, lo regalaban, en ese tiempo si había entes maliciosos, estaban también limitados de igual manera por la tecnología y la difusión de conocimientos, sin embargo, no se detenían y también fueron creciendo, hoy en día lo sofisticado de los ataques es impresionante, años después se aceleró el desarrollo tecnológico tanto en software como en hardware, bajaron los costos, se incrementó el acceso a la información de programación y comunicaciones a un nivel estresante.

Llega la pandemia y la tecnología con el trabajo remoto, propicio que los servicios siguieran su crecimiento, aun con la desaceleración económica por las circunstancias que perduraron durante este evento mundial, sin embargo, también permitió que los atacantes pulieran sus métodos, aumentaran sus tácticas y encontraran con mayor facilidad debilidades para vulnerar redes completas.

En este contexto les puedo decir:

Este tema ya no puede seguir siendo un problema solamente de TI, por supuesto que es un problema de gestión del riesgo que incumbe a toda la empresa, considerando que el valor preciado de los datos es crítico para el negocio.

Hoy protegemos pensando que ya fuimos atacados, bueno es un mecanismo que se utiliza con Zero Trust en la ciberseguridad, no obstante, para unas amenazas se sabe que el riesgo cibernético se debe gestionar a todos los niveles de la empresa, hasta la sala de la dirección o consejo de la empresa.

El debate de TI comienza con nuestra estrategia de seguridad de la información, esta debe estar basada en cuatro pilares: una arquitectura en la que podamos confiar, capacitación y concientización de los funcionarios en el tema de seguridad y agilidad para satisfacer las necesidades del negocio.

Las amenazas cibernéticas pertenecen a una de dos categorías: amenazas tradicionales, como el malware y sus variantes o las Amenazas Persistentes Avanzadas (APT) sumamente sofisticadas, de esta manera es necesario desarrollar y mantener fuertes defensas de seguridad, usando una combinación de tecnología, herramientas y procesos, para defenderse contra la mayoría de los ataques, como responsables del área sabemos que es crucial que instalemos en tiempo y forma parches en los servicios en los sistemas de los equipos de acceso como Router, Firewall y Gateway, así como sistemas operativos de servidores, ya sea Microsoft Windows, GNU/Linux; Mac OsX, UNIX, equipo de escritorio, también para servicios como el sitio web, establecer reglas como por ejemplo bloquear a usuarios después de múltiples intentos fallidos de inicio de sesión, tenemos que filtrar los archivos adjuntos de correo electrónico, inspeccionar documentos que entran y salen de la nube, se debe de actualizar constantemente el software antivirus (EDR) y centralizarlo en una consola de administración (XDR) para verificar las estadísticas de la red y visualizar los equipos que puedan estar vulnerables o que están siendo objeto de un ataque.

Por experiencia propia sé que definitivamente el factor humano, es la mayor preocupación a falta de concientización sobre la ciberseguridad, consideremos que aproximadamente el 90% de todas las fugas de datos son ocasionadas por personas físicas, a través de actividades tanto intencionadas como involuntarias, es ocasiones los atacantes ingresan a la red de la organización mediante ataques de phishing selectivo y campañas de ingeniería social que descubren las contraseñas de los usuarios.

Recomiendo puntualmente el incorporar conocimiento y diligencia sobre la ciberseguridad en nuestra cultura, ya lo debemos de considerar como elemento fundacional de cualquier estrategia de ciberseguridad global, y la clave es hacer que la concientización en seguridad sea importante para las personas, los ejecutivos y funcionarios que aprenden de manera diferente, y requieren enfoques distintos para interesarse y comprender el valor de la seguridad, me he encontrado con un alejamiento y apatía para conocer en términos de tecnología lo que puede ser perjudicial para el negocio, por lo que como líder de TI considero reforzar las campañas de concientización de seguridad a las que podemos estar expuestos proporcionando formas creativas y concretas de interesar continuamente a los dirigentes del negocio.

Por ejemplo, establecer talleres de capacitación, reforzado con boletines mensuales internos, entrevistas a ejecutivos, revisar los riesgos, pruebas simuladas de amenazas y vulnerabilidades, hay que esforzarnos porque sea sencilla también y ajustada al perfil laboral, con ello iremos un paso más allá informando a nuestros funcionarios sobre cómo aplicar estos aprendizajes a su vida personal, junto con las recomendaciones, los artículos, y los blogs que se pueden compartir con familiares y amigos del empleado o ejecutivo, en realidad a cualquier público, podemos enterarlo, también en casa, con los amigos de mis hijos, vecinos, etc.

“Lo importante es ayudar a prevenir lo que humanamente sea posible y protegernos para no caer presa de las amenazas; agregando una capa de protección al enfoque de seguridad multicapa”

— Rberny 2023

Como profesional de seguridad en la información, también participó en reuniones para hablar de manera clara con nuestros socios, con ellos expongo el valor de la seguridad, fundamentando que puede pasar, si hay que realizar alguna inversión o ampliar las políticas, sin que con ello quedemos inoperantes, continuamente respondo a preguntas como:

  • ¿Qué protege el control global de seguridad?
  • ¿Por qué importa?
  • ¿Cuál es el rol del usuario final?
  • ¿Qué impacto tiene en la empresa?
  • ¿Cuál es el papel de los socios en la toma de decisiones de la ciberseguridad?
  • ¿Con qué regularidad se estará tratando el tema?

Es imperativo comunicar cómo los controles de seguridad incorporados protegerán a los usuarios, los datos, y la propiedad intelectual de la compañía, es mi responsabilidad aprender cómo varían los perfiles de riesgo en las unidades de negocios y organizaciones de servicios, les recomiendo formar una asociación con cada unidad de negocios para desarrollar el equilibrio apropiado de controles de riesgo y de seguridad.

Es así donde el marco de administración de seguridad de la información estructurada se vuelve crítico, sin embargo, permite alinear la seguridad de la información clave con la estrategia empresarial, un enfoque de administración de riesgo normalizado, aplicación consistente del conocimiento de seguridad e inversiones apropiadas en seguridad de la información para soportar las prioridades organizacionales y no dejar de ser competitivos en el mercado.

La Innovación y la resistencia al cambio

La innovación es el resultado de un proceso complejo e interactivo en el que intervienen tecnologías, recurso humano, formaciones profesionales, capacidades organizativas, diseños, y otros factores intangibles de la actividad empresarial, es el arte de transformar el conocimiento en riqueza y calidad de vida, de esta manera, dicha innovación aparece como una condición esencial para la expansión organizacional, de tal manera el cambio tecnológico viene a ser el impulso que está detrás de un crecimiento sostenido.

En contraposición, aparece la resistencia al cambio, que resulta ser de mayor impacto social que tecnológico, teniendo que ser combatidos los paradigmas de las personas que conforman el negocio, puesto que esto conlleva un cambio en su rutina laboral.

Difícilmente se pueden adelantar cambios en una organización o empresa si estos no están soportados por los valores, actitudes y conducta de su gente; por lo que resulta importante el compromiso a la hora de iniciarlos, quiero decir que en la medida en que el trabajador internaliza y se hace copartícipe de esos cambios y se siente más protagonista de los procesos y no víctima de ellos.

En esta línea, la tecnología de la información, ha sido el elemento impulsor de cambios en el negocio y en su planeación, puedo comentarles que he logrado implementarla exitosamente en nuestros patrones culturales, así como en sus estrategias de desarrollo, por lo tanto, la empresa es más competitiva y sus procesos más eficientes, estoy seguro de que no debemos pensar que es uno de esos procesos de una vez, ni tampoco que es otra moda o tecnología más, se debe tener en cuenta que otros pueden estar tomando la delantera, dejándonos fuera de la competencia, debemos considerar su adopción en forma oportuna por todos los miembros de la empresa, logrando de esa manera alcanzar la ventaja competitiva que nuestros productos o procesos requiere.

¿La resistencia al cambio es un riesgo de TI?

Considero que si es un riesgo para TI y para todo el negocio, por lo que, resulta interesante, estudiar y analizar las reacciones y respuestas del personal involucradas en la adopción de una determinada tecnología de información, sobremanera hablando de inculcar una cultura de cuidar como utilizamos los recursos informáticos de la empresa, planteando los aspectos que deben revisar en sus equipos y sistemas, tendremos más logros positivos que negativos de la implementación de la ciberseguridad, no únicamente desde el punto de vista del proceso, sino también de las personas, siendo la diferencia generacional, el punto clave para facilitar dicha adaptación, a los jóvenes se les facilita más.

Considero prudente establecer el impacto que tienen las innovaciones en las personas que forman parte del negocio, las reacciones involucradas en la adopción de una determinada tecnología, los cambios de paradigmas que involucra la ciberseguridad y la necesidad de la participación general, por supuesto también la importancia de las tecnologías de información para la creación de ventajas competitivas en un mercado cada día más globalizado.

Tendremos como reflexión final que los cambios tecnológicos deben ser adoptados en conjunto con el personal y en concordancia con los intereses de la empresa, ya que de lo contrario se convierte en un riesgo en la implementación de tecnologías de la información, teniendo gastos adicionales, que no podremos evitar en una mala planeación de resistencia al cambio.

Esta ocasión vimos:

  • Vivencias de ciberseguridad.
  • La nueva figura del CISO, este punto está más ampliamente explicado en este enlace.
  • Responsabilidad compartida de la ciberseguridad para el negocio y las personas.
  • La prevención es la mejor forma de preparar y disminuir la superficie de ataque.
  • Crear la cultura de prevenir mediante la ciberseguridad.
  • El elemento humano
  • El riesgo de TI con la resistencia al cambio.

No nos adentramos a un nivel técnico, ni a detalle de la ciberseguridad, el presente es únicamente con la intención de crear conciencia, de tener una visión desde el perfil del encargado del área de TI.

Absolutamente, Nadie está exento de un ataque, no importa quien eres o cuanto tienes, es posible que ya te hayan visitado y ni cuenta te has dado, esos son los mejores porque nunca se dan a conocer.

Algunos estarán de acuerdo o desestimarán las ideas expuestas, no obstante, han funcionado y bien todas las veces que las he implementado, siempre he pensado que si las personas están enteradas de que pasa o como evitar si se presenta algo, quizás si sospechan de un evento, porque con su participación ayuda a que podamos ayudarlos de mejor manera.

Doy la bienvenida a nuevos contactos alrededor del mundo, quiero expresarles lo satisfactorio que es contactar con ustedes, que intercambiemos ideas y crear sinergia en esta área de tanta responsabilidad.

Muchas gracias, por su tiempo, su amigo,

Firma 2023 Rberny - Ing. Rubén Bernardo Guzmán Mercado
Firma 2023 Rberny – Ing. Rubén Bernardo Guzmán Mercado

Views: 2

Comparte si fue de tu agrado

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.