Jorge Castro.
La realidad es que los directivos de las empresas tienen acceso a información con grandes niveles de confidencialidad. Además, suelen ser los que más usan dispositivos móviles para trabajar desde casa, hoteles, aeropuertos, etc.
Esta combinación, más que conocida por todos, y especialmente por los cibercriminales, provoca que cada vez sean más los directivos de empresas que se ponen en el foco de los cibercriminales a la hora de realizar sus ataques, ya que son un perfil más rentable y lucrativo.
Estos ataques no suelen salir entre los grandes titulares donde se cuentan por millones los registros robados con datos personales o tarjetas de crédito. Sin embargo, los ataques a directivos permiten robar pocos registros/credenciales pero de alto valor.
Grandes retos
Los focos en los directivos no son su PC portátil, ni siquiera sus tablets o smartphones. Son sus residencias de verano con Wi-Fi, son los hoteles donde se alojan, los aeropuertos en los que esperan vuelos, la líneas telefónicas que usan, son sus familias y hasta sus televisores… en definitiva aquello de “dónde ubicar los límites de la empresa” cobra especial significado con los directivos y nunca ha sido tan significativo estando aún en las primeras etapas de Internet de las Cosas (IoT).
Las herramientas de seguridad evolucionan rápidamente, pero aún más lo hacen las amenazas asociadas al crecimiento tecnológico. Los cibercriminales son cada vez más capaces, están cada vez mejor entrenados, organizados, pagados y motivados.
Aunque las empresas se esfuercen en mantener sus equipos y redes limpios de virus, troyanos, gusanos (y demás variantes de malware) y su tráfico monitoreado frente a ataques conocidos y desconocidos, cada día tienen que combatir estas nuevas amenazas, cada vez más complejas y avanzadas, diseñadas para evadir las soluciones tecnológicas de seguridad existentes.
Transformación del modelo de seguridad
El camino de la solución termina necesariamente en la personas, en estos directivos, su entorno de trabajo, así como en el entorno personal de los mismos; pero no pasa por limitar la capacidad que deben tener para poder gestionar y rentabilizar el negocio.
Los paradigmas de seguridad de la información clásicos se quedan cortos ante el nuevo panorama. Debemos aportar soluciones orientadas al negocio y al desarrollo del mismo, flexibles y completas, que faciliten la transformación de manera natural, desde un modelo reactivo de la seguridad de la organización hacia una visión holística a través de tres pilares fundamentales:
• Personas como motor de la transformación: El mayor propulsor (y objeto) del cambio y transformación en seguridad de la información son las personas -máxime si se trata de los directivos por su representatividad y responsabilidad corporativa-. Por ello, su involucramiento en la seguridad de la información es fundamental para lograr un cambio alineado con los objetivos de la organización. Programas de concientización específicos para directivos (y su entorno) que estimulen de manera creativa la “necesidad de sentirse protegidos” y fomenten una cultura responsable de seguridad son fundamentales.
• Procesos como vehículo de la transformación.
• Adecuar la cultura de la organización implica orientar el esfuerzo en los procesos asociados a la seguridad de la información. Estos procesos deben convivir, entrelazarse y apoyar al resto de procesos de negocio de las áreas corporativas por lo que serán el verdadero reflejo de la permeabilidad de la seguridad en la cultura de la compañía.
• Tecnología como soporte a personas y procesos: El soporte para transformar personas y procesos se debe apoyar en soluciones tecnológicas, las cuales, al servicio de la estrategia de seguridad, contribuirán a facilitar y mejorar la transformación de la seguridad de la información.
En definitiva, la tecnología y las herramientas a implementar deberán ser fruto y consecuencia de la estrategia, un medio para alcanzar los objetivos propuestos, pero nunca una finalidad.
