Hay veces en la vida que uno se plantea el orden de las cosas. Cuando lees artículos donde se pone de manifiesto, que una amplia mayoría de los directivos de las empresas creen que la seguridad que tienen no se ajusta a su negocio, la pregunta automática que me surge es: ¿Y por qué no haces un cambio?.
El cambio es responsabilidad de la Dirección
El único rol en una Organización capaz de cambiar algo es la dirección, por lo que si hay algo que no funciona, o al menos se cree que no funciona, la responsabilidad de la Dirección es trabajar para el cambio. Esta Dirección no puede “conformarse”, “quejarse”, “compadecerse” de sí misma, por el único motivo de que si no son ellos los que cambian, nadie lo hará. Bueno, quizás sí que les cambien, quizás los clientes de esa empresa les hagan cambiar al dejar de confiar en ella.
Siempre he escuchado desde pequeño ese dicho que dice “A Dios rogando, pero con el mazo dando”. A las personas nos encanta protestar por todo, está dentro de nuestro ADN humano el no estar contento con lo que tenemos, pero por el contrario son muy pocos los que no se “conforman con quejarse” e intentan el cambio.
Sólo sé que no sé nada
En los foros de seguridad, donde se reúnen todos los actores que trabajan por la protección de las organizaciones, la idea general es clara: “sólo hay dos tipos de empresas. Las que saben que han tenido un incidente de seguridad, y las que todavía no lo saben”. El dato proporcionado por el artículo, que el 57% de las empresas “reconoce” haber sufrido un incidente de seguridad, es a todas luces una muestra de este hecho. No es posible, que con el estado actual de la seguridad en las empresas, donde seguimos arrastrando problemas de seguridad de principio de siglo, sólo tengamos este porcentaje. Quizás deberíamos definir bien qué es un incidente de seguridad, porque no nos referimos únicamente a un ataque de un hacker.
La preocupación creciente de las empresas por la obsolescencia de los controles de seguridad, o la continua y creciente comisión de “descuidos” por parte de los empleados, no hace más que indicar que los años que vienen van a ser mucho peores. Son precisamente las personas, el eslabón más débil en cualquier perímetro de seguridad. Muestra de ellos son las últimas campañas que estamos sufriendo de fraude, donde los ataques no son de fuerza bruta contra las defensas, sino que están basados en el escalado de privilegios partiendo de usuarios embaucados por diferentes técnicas ancestrales de engaño.
Inteligencia frente a los ataques
El estudio presenta un dato importante, y es la introducción en esta guerra asimétrica de una baza fundamental para poder presentar defensa eficaz. Son los departamentos de inteligencia de las empresas los que pueden trabajar de forma más efectiva contra estas amenazas al buen funcionamiento, presente y futuro, de las organizaciones. Estos departamentos hacen de filtro de la realidad, ayudando a buscar esa aguja tirada en el pajar. La inteligencia es parte fundamental del cambio.
Los departamentos o servicios de inteligencia, no sólo ayudan a encontrar vectores de ataque, o vulnerabilidades que puedan afectar a nuestros sistemas. Lo servicios de inteligencia aportan una ventaja competitiva, respecto a las empresas que no lo tengan, porque permiten aportar información de valor para la toma de decisiones de la dirección, generan contenidos eficientes para los sistemas de formación y concienciación de las compañías, pronostican tendencias de cara a la planificación de proyectos, incorporan herramientas que permiten la monitorización de la competencia de cara a generar acciones que contrarresten sus esfuerzos publicitarios, etc.
Apostando al rojo
Contrasta leer en el artículo cómo es posible que, pese al crecimiento en la inversión previsto para el próximo año, se vea del todo insuficiente. La idea de que más del 60% de las empresas multinacionales no crean ser capaces de equilibrar las necesidades de recursos a la demanda, salvo que un incidente impacte gravemente en sus negocios, es del todo descorazonadora.
No debe jugar a la ruleta con la seguridad porque, a diferencia de otras disciplinas, estar preparado desde el punto de vista de la seguridad, puede ser la diferencia entre la vida y la muerte. Un cinturón de seguridad de un coche, un airbag, o una estructura reforzada, no evitarán en ningún caso tener un accidente, pero estas medidas pueden salvarte la vida.
Debemos entender la seguridad como un conjunto de medidas integrales, donde es necesario cubrir todos los frentes de forma equilibrada y ajustada a las amenazas que nos vayan llegando procedentes de los servicios de inteligencia. Pero si tuviera que apostar, apostaría sin lugar a dudas por la formación y concienciación de las personas, que son el activo más importante de cualquier organización.
Si todo falla, se llama a los bomberos
Crear trabajadores resilientes es la mejor garantía de que se podrán manejar los imprevistos que seguro tendrá la Organización. Los trabajadores de una empresa son los bomberos de la misma, cuando todo falla, cuando los procesos automáticos dejan de serlo, cuando los cisnes negros aparecen en el estanque, cuando el cambio es la única forma de seguir, cuando lo improbable se materialice, serán sólo los empleados los que logren, o no, apagar el incendio.
Puedes valorar la entrada: