La Ciberseguridad, como proceso continuo y estratégico en la empresa

Muchos de los que nos dedicamos a recomendar a nuestros clientes acerca de la mejor manera de plantear una estrategia de ciberseguridad nos encontramos aún con situaciones donde el principal stopper es el responsable de IT. Es bastante típico escuchar eso de que “yo, es que soy de tal marca” o “de tal otra” cuando se refieren a las marcas de firewalls o de antivirus, y existe un poco de fanatismo que me recuerda al fanatismo de los seguidores de los equipos de fútbol.

Insistimos en hacerles entender que la Ciberseguridad es realmente un proceso continuo. Te dicen que sí, pero al final acaban hablando de producto y de la confianza que les proporciona una marca concreta. Luego les preguntas si hacen revisiones de las configuraciones y actualizaciones de esos productos, como parte del proceso de gestión de la seguridad,  y te dicen que no, que no tienen tiempo. Que sería lo suyo pero que… el día a día les come. Te dan las gracias, pero prefieren quedarse como están. Con esa falsa sensación de seguridad, y la satisfacción de creer tener el tema controlado.

Tras pensar por qué suele pasar esto, creo que por lo general, en el ámbito empresarial, cuando alguien habla de plantear un proceso con el fin de mejorar algo, en muchas ocasiones da pereza sólo el pensarlo, porque plantear un proceso requiere parar, requiere pensar, requiere analizar… en definitiva, requiere un esfuerzo, y por ello se opta por seguir haciendo las cosas como se han hecho siempre, aunque en el fondo se sepa que no es lo correcto… y “Ya nos plantearemos eso de los procesos en un futuro”… un futuro que lamentablemente nunca acaba de llegar, “porque no tenemos tiempo…” nos decimos a nosotros mismos.

Por tanto, cuando nuestro interlocutor de IT no tiene un perfil un poco más elevado como para hablar de proceso continuo y de estrategia en Ciberseguridad, entonces acudimos a la dirección de la organización para hablarles de la importancia de establecer una estrategia de ciberseguridad que de manera transversal y continua proteja a toda la empresa. Aquí es más fácil que el mensaje cale. Con las noticias que llegan casi a diario de cosas que están sucediendo a nuestro alrededor, la ciberseguridad es algo que realmente preocupa a la dirección. Pero entonces te dicen: “Bueno… no tenemos un presupuesto de ciberseguridad asignado, pero hablemos con la dirección de IT, a ver cómo estamos, porque… bueno lo de la ciberseguridad es un tema de informáticos, ¿no?”. Pues no, no lo es, les dices, pero aun así, te envían a hablar con IT. Entonces piensas: “A ver si tenemos suerte y no acabamos hablando de producto.”

Desde mi experiencia como Director de IT durante más de 12 años, y mi más corta experiencia en la venta de servicios relacionados con la seguridad de la información, creo que hasta que las organizaciones no interioricen la necesidad de asignar una parte del presupuesto a la ciberseguridad, hasta que no se entienda la importancia de establecer una estrategia en ciberseguridad que alcance a toda la organización, y hasta que los equipos de IT no entiendan que la ciberseguridad es un proceso continuo (y no un producto), lamentablemente los ciberdelincuentes seguirán ganando el partido por goleada.

Artículos relacionados

No Image
No Image
No Image