La importancia hoy en día de gestionar un proyecto de seguridad holística ideal, que garantice la continuidad y el crecimiento del negocio y de las empresas.
por Gigi Agassini, CPP*
La tecnología es una herramienta muy poderosa que solo sigue en aumento y en constante cambio para satisfacer necesidades y retos diarios, lo cierto es que dentro del sin número de oferta que tenemos hoy, difícilmente nos detenemos un poco a analizar antes de adquirirla, y es todavía más difícil detenernos a pensar en lo que tenemos, y si es posible que sumemos más tecnología a lo que ya existe. Partiendo de los tres elementos más importantes para toda organización:
- Personas
- Procesos/procedimientos (bajo marco legal)
- Tecnología
El perfecto balance entre los tres es lo que nos llevará a esa eficiencia operacional de la que muchas corporaciones adolecen, pero además están buscando. Pero, ¿dónde está la desconexión para elegir tecnología o por qué es tan difícil poder alcanzar eficiencia operacional?
Bueno, existen varias respuestas a esta pregunta, pero todo radica en la misma base: comunicación. Y es que es tan difícil que las áreas se hablen entre sí y muchas veces se toman decisiones aisladas, lo que abre otras variantes de riesgo para el negocio. Sabemos que la seguridad es transversal a toda la organización, así como las Tecnologías de la Información (TI) ¿Quién debería elegir la tecnología? Y aquí es donde comienza una desconexión entre áreas, que solo tiene repercusión en el negocio, aumentando de manera innecesaria diferentes riesgos como amenazas cibernéticas, falta de escalabilidad, poca flexibilidad, tecnología en silos, altos costos en mantenimiento, entre otros.
Lo más común entre las empresas cuando se adquiere tecnología de seguridad, sin importar tamaño y/o tipo de negocio, es hacerlo fuera de las reglas y políticas del Gobierno de TI. Pero, ¿por qué deberíamos alinearnos a las políticas de TI?
Demos un vistazo y analicemos un poco sobre la importancia de alinearnos con TI y es que parecieran dos áreas independientes, que se gestionan de manera diferente, con conocimientos y responsabilidades distintas y ¡sí! La verdad es que ¡sí! Cada área tiene responsabilidades y retos diferentes, sin embargo el tópico “seguridad” en ambas áreas se complementan y es sumamente importante alinearse al cumplimiento normativo y de estándares internacionales que TI haya designado para alinearse a la estrategia del negocio y gestionar los riesgos de seguridad de la información, protección de datos personales, ciberseguridad, entre otros.
La importancia de un gobierno de TI es precisamente la alineación completa con la estrategia del negocio, lo que brindará al mismo tiempo el cumplimiento de sus objetivos, con una gestión adecuada del riesgo.
En seguridad física existe un modelo internacional para la gestión de riesgos (ESRM – Enterprise Security Risk Management) que precisamente nos permite este alineamiento con la estrategia del negocio y donde se marca tácitamente el conocimiento y gestión de este “practicioner” en varios tópicos, entre ellos ciberseguridad, protección de datos personales y seguridad de la información, por mencionar solo algunas de las diferentes áreas de conocimiento con las que debe de contar y es que es un error, y hoy más que nunca, pensar que el mundo físico esta ajeno del mundo digital.
La mayoría de las organizaciones cuenta con una estructura desactualizada, aún con pensamientos de vieja escuela, y desafortunadamente la gran mayoría de las empresas piensa que están invirtiendo en un seguro de seguridad al adquirir tecnologías, pero desafortunadamente lo hacen sin ninguna consideración o comprensión sobre el riesgo de seguridad cibernética; las organizaciones todavía tienen poca comprensión de su tolerancia al riesgo.
La falta de alineación entre el gobierno corporativo y el gobierno de TI seguirá abriendo un hueco en las estructuras organizacionales y dejando sin resolver el problema más importante hoy en toda organización: la comunicación y toma de decisiones, así como la aceptación de los riesgos por cada “stakeholder”, pues esto conlleva un “accountability” que va directamente relacionado a toda la organización.
Erróneamente seguimos pensando que solo porque tenemos una persona de seguridad, este tiene toda la responsabilidad de que “no pase nada” pero siempre pasarán cosas y cuando esto ocurre, solo se apunta a una sola cabeza. Seguir en este camino, que es el camino de la vieja escuela, continúa incrementando riesgos para el negocio, dejando los planes de seguridad (si existen) obsoletos y convirtiendo la “seguridad” en algo comercial o en el pensamiento de la negación: “si no me ha pasado, no hago nada”, y aunque es evidente que tenemos a nuestro alrededor situaciones preocupantes de ataques cibernéticos, robos de información, intrusiones ilegales a empresas, paros operativos a empresas y la lista sigue solo en aumento, seguimos inmersos en la negación de que “a nosotros no nos pasará” o que probablemente si nos pasa “no será grave”.
Sin seguridad no tenemos negocio
¿Qué estamos haciendo para brindar esa continuidad al negocio de una manera holística? Sabemos que el negocio principal de toda organización no es seguridad, sin embargo, sin seguridad no tenemos negocio y hoy los riesgos crecen, se modifican, aumentan y se transforman. La tecnología como aliado a nuestros procesos y procedimientos está en constante cambio pues los retos siguen solo en aumento, y entonces, ¿por qué queremos seguir haciendo las cosas igual?
Es verdad que la pandemia aceleró varios años de digitalización en todas las organizaciones, por lo que hoy se centran en ganar dinero y una transformación empresarial, pues hemos visto que toda organización que no busca innovarse no podrá existir por largo tiempo. La tecnología nos debe permitir crecer, reducir costos y llegar a una mayor eficiencia operativa. Sin embargo, sin una cultura, pensamiento y estilo de vida en seguridad, cualquier proyecto tendrá un futuro incierto debido al constante aumento en delitos cibernéticos.
En cuanto pensemos diferente y centremos las decisiones hacia una transformación en seguridad y nuestras preocupaciones en seguridad cibernética, todas aquellas iniciativas, nuevos productos, etc. del negocio, alcanzarán su máximo potencial.
Sin duda todos los elementos del negocio, como los pronósticos financieros, el desarrollo de productos, las operaciones, el desarrollo comercial y la evaluación de la empresa, deberían girar con base en un entorno seguro. Para lograr esto se necesita de una comprensión amplia de la ciberseguridad con el fin de que las organizaciones vean el impacto general; y para llegar a este punto, necesitamos pensar diferente y hacer las cosas diferentes. Seguridad es responsabilidad de todo el negocio y comienza desde el “Board de Directores”; todo el ecosistema del negocio debe estar, “por diseño”, embebido en una cultura de seguridad holística.
Si queremos asegurar la continuidad, supervivencia y expansión del negocio debemos garantizar que los tres elementos de toda organización están en perfecto balance: procesos operativos actualizados y con el cumplimiento de normativas y estándares internacionales alineados al objetivo y estrategia del negocio, la tecnología como apoyo a que las personas sean más eficientes y que nuestros planes de detección y respuesta están en constante actualización y dinamismo, pues son documentos vivos.
Sin todo lo anterior seguiremos en el mismo camino y continuarán fallando las organizaciones reduciendo significativamente los resultados esperados por el negocio. No olvidemos que seguridad primero, seguridad segundo y seguridad en lo último, pero no la seguridad tradicional, sino más bien la seguridad holística, la seguridad que hoy en un mundo digitalizado está llevando a las organizaciones a un punto de no retorno, por no tomar las medidas adecuadas y adaptarse al cambio.
Lo que todo negocio debe cuidar son personas (proveedores, empleados, clientes) ya que en automático se cuidará a la organización. Recordemos que seguridad es ¡uno para todos y todos para uno!
* Gigi Agassini, CPP
Consultora Internacional de Seguridad
GA Advisory
[email protected]
