Volver

Un test de estrés para tu ciberseguridad

A Cybersecurity Stress Test

Escenarios como el actual está llevando a nuevos hábitos de trabajo, de manera más o menos precipitada para algunas organizaciones. Una buena parte de ellas se han visto obligadas a aceptarlos por necesidad, lo que puede empujar hacia nuevas dinámicas más ágiles y flexibles, pero, a la vez, a asumir ciertos riesgos en seguridad. ¿Cuál es el cometido del responsable de seguridad de una organización?

Enrique Dans, profesor de innovación en IE Business School, senior advisor for Innovation en IE University.

Twitter | LinkedIn


 

La falta de anticipación a esta situación puede tener varios motivos. Uno de ellos es la obsesión por el presentismo que vienen mostrando muchas organizaciones, por lo que nunca se ocuparon en hacer seguras unas conexiones desde el exterior, ya que no concebían que sus empleados trabajasen desde ningún sitio que no fuese la sede de la compañía. Esto les ha llevado a una total ausencia de protocolos, prácticas y herramientas para ofrecer canales mínimamente seguros para su información, que las convierten en completamente vulnerables.

Los responsables de seguridad tienen aquí una responsabilidad clara, algunos de ellos con prácticas nunca pensadas para habilitar el trabajo en remoto, con políticas que en contextos como el actual prácticamente impiden que sus empleados se conecten a sus sistemas.

La cuestión es que todo indica que la actual crisis del coronavirus va a redefinir en buena medida la forma de trabajar en las organizaciones.

Un perfil técnico y psicológico

¿Cuáles deberían ser, entonces, las características de un responsable corporativo de seguridad? Dado que hablamos de un entorno en constante cambio, la primera cuestión es contar con un nivel de actualización elevadísimo, que le permita conocer eventuales amenazas para dotarse de las herramientas y la competencia técnica para hacer frente a ellas. Se trata de un requisito imprescindible del puesto que, desgraciadamente, muchos de quienes actualmente lo ocupan carecen de él.

Pero como todo perfil, tiene también unos requisitos «deseables», con una frontera más bien difusa con los anteriores. Más allá de lo técnico, cuenta también el factor psicológico: además de la controvertida ingeniería social, tenemos que mencionar una característica clave que es la empatía, que no es otra que ser capaz de percibir, compartir y/o inferir los sentimientos, pensamientos y emociones de los demás», fundamental en un ámbito como el de la ciberseguridad.

No se trata solo de dictar normas e implantar herramientas. Es fundamental conocer a las personas cuya actividad tienes que supervisar, en un entorno de trabajo con conocimientos ciertamente muy diversos.

En realidad, el cometido del responsable de seguridad va más allá del enfoque simplista de evitar intrusiones y fugas de información, sino que, en sentido inverso, debe garantizar el acceso a ella a todas aquellas personas de la organización que la necesitan para realizar su trabajo.

Evangelizar sobre nuevos hábitos

Pero su papel va aún más allá. Debe evangelizar sobre nuevos hábitos, como el uso de un gestor de contraseñas para evitar el esfuerzo absurdo de memorizar contraseñas cada vez más complejas y necesariamente modificadas de forma constante, o su anotación en un simple post-it a la vista de cualquiera.

Un problema similar se puede producir con la implantación de un sistema de doble factor, sin formar adecuadamente a las personas en su uso. Se trata de situaciones que, de no ser gestionadas adecuadamente, conllevarán frustraciones y pérdidas de productividad.

La situación actual es un claro test de estrés para la seguridad de tu compañía. Si los protocolos impiden a los profesionales de tu organización seguir realizando su trabajo con normalidad, es posible que estés evitando intrusiones, pero no estás cumpliendo la otra mitad de tu cometido, fundamental en cualquier momento pero más en un escenario como el actual.