Carlos Perea.
Contar a los miembros de la junta de administración de nuestra empresa historias de terror, no es nada efectivo (si es que alguna vez lo fue…). En este punto, y con la cantidad de noticias sobre hackeos que seguramente leen diariamente, el alarmarlos continuamente no logrará que aprueben una inversión para mejorar la seguridad. No así.
Por mucho que nos quejamos de que los ejecutivos y directivos no comprenden realmente la ciberseguridad, seguimos presentando diapositivas altamente técnicas que los confunden y causan el efecto contrario a lo que buscamos: mejorar la seguridad de la organización. Esto tiene que cambiar. Necesitamos tiempo para entender sus prioridades y comunicarnos estratégicamente desde una perspectiva de riesgo comercial y financiero, no solo tácticamente o desde un punto de vista limitado a nuestras propias necesidades de proyectos y departamentos.
La mayoría de los CISOs están llegando a la conclusión de que el riesgo de ciberseguridad tiene que ser enmarcado en un lenguaje que los CEOs, CFOs y juntas de administración puedan entender y en consecuencia actuar. Claro, esto incluye dejar de lado la jerga computacional, pero el verdadero valor vendrá de calcular y comunicar con precisión lo que está en riesgo y alinear sus esfuerzos con los objetivos estratégicos generales de la organización.
No hace daño establecer un poco de conciencia situacional a las necesidades estratégicas de la organización. Por ejemplo, podría no ser la mejor idea solicitar fondos para una aplicación antiphishing (una que proteja a los empleados al hacer click en correos electrónicos falsos o bien en acciones en detrimento de políticas y procedimientos de seguridad) cuando el siguiente punto en la agenda de la junta es revertir la baja moral de los empleados.
También tenemos que hacer un mejor trabajo al entender las prioridades del nivel C y de la junta de administración, y comunicarnos estratégicamente. Los CISOs que rompen barreras y lo llevan a cabo de manera efectiva, tendrán mucho más éxito y tendrán menos probabilidades de que sus organizaciones terminen expuestas en el “muro de la vergüenza de los medios”.
Algunas recomendaciones:
1.Diseñar un mensaje que sea claro, conciso y con un lenguaje entendible.
2.Identificar las prioridades y expectativas de ejecutivos de nivel C y miembros de la junta de administración.
3.Justificar de manera estructurada los riesgos en materia de seguridad informática.
4.Proponer una resolución que proteja la inversión existente en seguridad y prolongar la vida de las aplicaciones existentes.
5.Presentar un plan de medición, alertamiento y remediación en caso de existir amenazas a los datos o a la infraestructura crítica.
La privacidad y la seguridad deben ser integradas no solo en cada sistema, sino en cada decisión de negocios.
The Internet of Medical Things
Los CISOs entienden que el ataque informático a target fue el resultado de credenciales de acceso de terceros que fueron comprometidas, y que dieron como resultado que ejecutivos seniors perdieran sus trabajos. El sector retail tiene una complejidad adicional en el manejo de “end-points” no tradicionales como las cajas registradoras y los dispositivos portátiles de rastreo de inventario; sin embargo, eso no tiene comparación con lo que enfrentan otros sectores como el de la salud.
The Internet of Medical Things es una realidad, está aquí y no es muy seguro que digamos. En 2016, Stephanie Jernigan, Profesora Asistente del Departamento de Administración de Operaciones en el Boston College, dictó una ponencia interesante titulada: “Listos o No, Ahí Viene la Internet de las Cosas” (http://www. healthprivacyforum.com/boston/2016/ready-or-not-here-comesinternet- things) una postura que no solo está haciendo voltear a los que nos dedicamos a esto, sino a ejecutivos, médicos, instituciones y gobiernos, a buscar la eficiencia a través de esta tendencia tecnológica que potencialmente promete un paso gigante para la atención médica, pero que, de llevarse irresponsablemente o sin la capacidad técnica para proteger los datos críticos de pacientes, puede derivar en una tragedia que nadie quiere presenciar.
Un tema preocupante
De acuerdo a datos obtenidos del estudio MIT Sloan Management Review on IoT, mucho de lo que pensamos sobre IoT en el sector salud se confirma, y también hay nuevos datos duros. El análisis reveló que las organizaciones con sólidas infraestructuras de análisis y habilidades eran más capaces de aprovechar las inversiones en IoT. Los dispositivos que caen bajo la categoría de Internet de las Cosas Médicas son más fáciles de atacar porque son físicamente y digitalmente más accesibles. Esto es especialmente cierto con los dispositivos portátiles que salen del hospital con el paciente.
Otro hallazgo inquietante muestra que, “a pesar de esto, el 76% de los encuestados considera que no necesita mejorar la seguridad de sus datos de sensores y el 68% siente que no requiere elevar su seguridad general de los datos”. Preocupante, ya que el estudio también revela que a medida que la capacidad analítica mejora, también lo hace el éxito general en términos tanto de los resultados de los pacientes como de la postura general de seguridad.
