Ciberseguridad: ¿tecnología o personas?
Con el crecimiento de la tecnología, el acceso a Internet, la capacidad de almacenamiento de información y la privacidad de los datos las empresas se están ocupando de mejorar los niveles de seguridad de su infraestructura tecnológica. Aunque en su mayoría, se centran en la implementación de nuevas tecnologías: hardware o software que les permita mejorar la protección de lo que consideran es vital o alto valor para su organización.
Ahora bien, la seguridad tecnológica como la seguridad de cualquier activo comienza por el elemento fundamental, es decir, el ser humano o las personas que tienen acceso a esa información, datos o infraestructura tecnológica. La seguridad personal o de activos, ha sido desarrollada a través de la historia de la humanidad. Y si nos fijamos, en el ámbito militar o resguardo de personas de alto nivel jerárquico de un país u organización, la clave es la palabra Confianza.
La confianza, algunas veces desacreditada, es el activo fundamental a desarrollar en una organización para lograr garantizar la seguridad de sus activos, incluyendo los datos e infraestructura tecnológica. Y está se desarrolla, en el ámbito de las relaciones humanas o personales.
El CEO o persona que lidera una organización debe desarrollar relaciones personales y profesionales con el resto de su equipo basada en la confianza. Sino confía en su Chief Information Security Officer (CISO) o en alguno de su equipo, podrá caer en la tentación de adquirir o invertir en tecnología para evitar que algún miembro de la empresa colabore para extraer información valiosa o debilitar la seguridad de la infraestructura tecnológica.
Y la tecnología no es una solución por sí misma. Fortalecer la confianza entre los miembros de su compañía, y en especial por quienes resguardan la seguridad de la información es fundamental. Es el primer paso, y quizás el más efectivo ante cualquier ataque externo.
Debido a que la confianza parte por el entender el nivel de responsabilidad que todos los miembros de una organización comparten para garantizar la seguridad de la información. En algunos casos, está relacionada directamente con la viabilidad del negocio y la continua operación de la organización, y, por ende, con mantener los puestos de trabajos que beneficia a cada uno de sus miembros.
Entrenar, enseñar e involucrar a todas las personas que conforman la organización o empresa en la seguridad de la infraestructura tecnológica o información es la mejor inversión para disminuir la probabilidad de un ataque externo. Desde el elemento más simple, la selección de la calve de acceso, resguardo y actualización que en muchos casos ha sido la puerta de entrada de ataques de Ransomware.
Obviamente, sin descuidar la definición de procesos que permitan establecer, acordar y definir las medidas necesarias para garantizar la seguridad de los datos y la información. Y en el mismo nivel de prioridad, la empresa debe utilizar la tecnología idónea y acorde a sus propios requerimientos.
Ambos elementos, los procesos y la tecnología será eficientes en su objetivo de protección a medida que las personas conozcan dichos procesos y sepan utilizar la tecnología. En estos tres elementos fundamentales, se centra el proceso de certificación de una organización basado en el estándar desarrollado por IFGICT.
Autor: Gerardo Mantilla. CEO & Founder - Artifex Consulting LLC.