- Por Claudio A. Núñez Montecino,Ingeniero, Seguridad de la Información y Ciberseguridad, CSFPC, ISO27001 LA, ISO27001 LI, CGGC NIST. Jefe de Gestión de Vulnerabilidades Banco BICE.
Como notarán, he escrito estas líneas basándome en el libro “Los 7 hábitos de las personas altamente efectivas” de Stephen Covey, el que me ha dejado enseñanzas para conducir mi vida, lograr metas personales y desarrollar habilidades interpersonales.
En mis años de consultor en temas de seguridad de la información y ciberseguridad he logrado entender desde dentro las organizaciones que independiente de las mejores prácticas o estándares (ISO, ITIL, CobIT, etc.) existe un elemento común que hace que estas empresas gestionen de manera adecuada los temas de seguridad, gobierno TI, u otras materias de aplicación. De mi experiencia en clientes he notado que estos hábitos son la base para desarrollar, implantar y gestionar adecuadamente un sistema de seguridad de la información, o cualquier otro sistema.
- Compromiso
El primer diferenciador que hace líder a una Organización en temas de seguridad de la información es el compromiso de la Alta Administración. Ningún proceso o sistema de gestión de seguridad de la información podrá lograr sus objetivos si no existe el compromiso de la alta Administración. He visto como muchas empresas entregan directrices para mejorar la seguridad de la información sin que los líderes se comprometan en ese objetivo. Se generan entonces esfuerzos aislados que minan la confianza y el liderazgo para lograr que los temas de seguridad sean un objetivo y práctica común. Cuando los Directores y Gerentes se comprometen junto con su equipo, estos se vuelven interdependientes y trabajan mejor para cumplir “lo que todos queremos”. Estos los conduce al trabajo en equipo y genera sinergia, necesaria en toda actividad de una Organización.
- Disciplina
En todo orden de cosas la disciplina marca un diferenciador. Cuando todos los miembros de un equipo rigen su conducta y comportamiento hacia el cumplimiento de los objetivos de seguridad y este se lleva a cabo metódicamente, las empresas se vuelven rápidamente competentes. En este aspecto, se requiere de disciplina administrativa y personal para llevar a cabo las actividades y procesos definidos en el sistema de gestión de seguridad. El resultado de la gestión de seguridad de la información será producto de las decisiones que lleven a cabo los responsables de la seguridad y no de las condiciones de su entorno, lo que significa que todos deben asumir responsabilidades.
- Proactividad
Ocuparse de los temas de Seguridad de la Información debe ser un tema en la agenda de toda Organización, antes de que la agenda se vea ocupada por problemas o incidentes de seguridad. La proactividad le permite a las empresas y sus equipos de trabajo desarrollar la capacidad para manejar situaciones adversas. En función de los objetivos de seguridad de la información, si no eres proactivo eres reactivo, lo que puede traer consigo un alto costo en la operación del negocio y consecuencias financieras.
La efectividad no se puede medir en el corto plazo, y la proactividad es la base para desarrollar un enfoque que tendrá un efecto a largo plazo en la Organización.
“No permitan que las cosas sobre las cuales no pueden hacer nada, interfieran sobre las cosas sobre las cuales pueden hacer mucho” (Stephen Covey).
- Conciencia
Se debe ser consciente de los riesgos a los cuales se puede ver enfrentada la Organización. Se debe actuar y llevar a cabo la gestión de riesgos como un elemento diferenciador para el negocio. La visión de seguridad de la información no solo se debe enfocar en ejercer acciones o aplicar controles sobre los sistemas, sino que en generar valor a través de la adecuada gestión de riesgos, es decir, debe estar enfocada en el Negocio.
Por otra parte, no se puede confiar solo en la tecnología para resguardar la seguridad de la información de su Organización; el factor humano es también una de las variables más relevantes en cuyas capacidades radica el éxito del modelo de gestión. Por tanto la capacitación/entrenamiento y el conocimiento continuo del recurso humano es determinante para fortalecer las medidas de seguridad que sean tomadas.
Ser consciente lo impulsará a ser proactivo y le ayudará a identificar las potenciales fuentes de amenazas, conocer las debilidades de los sistemas y conocer los riesgos, a fin de que pueda implementar adecuados controles.
- Sinergizar
Para lograr los objetivos de seguridad de la información se debe trabajar colaborativamente interna y externamente. Si todos los miembros de un equipo aportan con su conocimiento, sus habilidades, sus técnicas; el resultado se potencia de cara a los objetivos de seguridad. Si no existe sinergia entre los miembros de un equipo, los esfuerzos aislados solo le permitirán a su atacante sacar ventaja de sus acciones.
Del mismo modo, si hackers se reúnen y comparten conocimientos, ¿Por qué no hacerlo nosotros? Se puede adquirir un gran potencial si todos colaboramos en función del conocimiento, las medidas y acciones que tomamos en torno a la seguridad de la información. El error que se comete constantemente es creer que lo que se está haciendo en torno a la seguridad de la información no ha sido dimensionado por otro. Existe un gran beneficio cuando colaboramos entre Organizaciones pares, agencias de seguridad, y especialistas para gestionar riesgos, definir o implementar controles.
Si no tenemos el hábito de Sinergizar nuestros oponentes (hackers, ciber delincuentes, etc.) sacarán ventaja de nuestra falta de capacidad, desviaremos esfuerzos y nuestro objetivo estará más centrado en la competencia que en la colaboración mutua; innecesaria para lograr que la seguridad de la información logre su objetivo.
- Capacitar y entrenar
En seguridad de la información podemos desarrollar políticas, normas y procedimientos que rápidamente pierden su valor sino capacitamos a los usuarios y entrenamos a los equipos para identificar y responder frente a las amenazas e incidentes de seguridad. Cuando nos comprometemos con los usuarios y les enseñamos el valor de la información estamos dando un paso importante para que nuestro esfuerzo en materias de seguridad logre los resultados esperados.
Usuarios que nunca han sido concienciados en temas de seguridad se muestran rápidamente interesados cuando se les muestra evidencia de los riesgos que con lleva la falta de controles o malas prácticas de seguridad, sobre todo cuando estos afectan su privacidad o la información de carácter sensible que manejan. Por otra parte, es común que los usuarios que conocen de las normas y procedimientos internos pierdan el interés en estas materias si evidencian que los responsables pierden también de vista uno de los propósitos que tiene la gestión de seguridad de la información al interior de la Organización.
Los responsables de la seguridad, los equipos de respuesta incidentes, los ingenieros de seguridad, el administrador de plataformas, juegan un rol importante en materias de seguridad de la información. Estos deben ser entrenados en las normas y procedimientos que han sido definidos para atender la seguridad de la información, ya sea en la aplicación de controles o en el manejo de incidentes, de manera que el conocimiento y sus habilidades no se vean comprometidas. De esta forma, cuando se capacita y se enseña aumenta significativamente la capacidad de aplicación.
- Conocimiento y mejora continua
En la actualidad, si no mantenemos nuestro conocimiento al día podemos volvernos rápidamente obsoletos. Es un hecho que el conocimiento no se puede falsificar, por lo tanto, la mejora continua no puede estar alejada del conocimiento constante en un entorno que es cada vez más dinámico.
La principal herramienta disponible para hacer frente a los temas de seguridad de la información es el conocimiento. Este hábito habilita la mejora en la calidad, productividad, satisfacción, calidad de las relaciones, y todos los aspectos que llevarán a la empresa a tomar las mejores decisiones. Uno de los aspectos importantes de este hábito es desarrollar también el talento de otros, es decir, el conocimiento debe ser también compartido. No hay que temerle a compartir el conocimiento que uno tiene, porque la debilidad del otro no aumentará mi fortaleza.
En temas de seguridad de la información el conocimiento llega a ser muy variado. No se puede llegar a conocer todos los ámbitos que involucra la seguridad de la información, sino se comparte el conocimiento. No podemos conocer de una vez de riesgos, amenazas, normativas, metodologías, mejores prácticas, estándares, tecnologías, entre otros temas, sino desarrollamos la habilidad para “afilar la sierra”. El efecto contrario que se produce al no considerar esto como un hábito en la seguridad de la información es avanzar rápidamente hacia la entropía. Como lo señala Stephen Covey “La victoria privada se logra afilando la sierra que ayuda a generar victorias públicas”.