No pienses que la seguridad de la información sólo tiene que ver con el Departamento de TI ni con la tecnología; creerlo te pone en una posición de debilidad porque dejarás de tomar las medidas correctas.
En este mundo cada vez más digital en el que vivimos, existen individuos y organizaciones criminales que buscan nuestros puntos débiles en cuanto a ciberseguridad y utilizan la falta de concienciación de los usuarios para su propio beneficio, sin importar cuánto daño puedan hacernos.
¿Y qué hacemos las empresas? Pues algunas veces empezamos la casa por el tejado o nos planteamos la ciberseguridad desde un punto de vista que no nos protege como creemos. Veamos algunos ejemplos de situaciones que debemos evitar:
- Nos planteamos la seguridad como una meta. Alguno puede pensar que esto no es un error, pero en realidad sí que lo es. Está claro que debemos aspirar a tener un buen nivel de seguridad dentro de nuestra empresa, pero eso es una cosa, y otra es que nos centremos en alcanzar el 100% de seguridad sin pensar en si es realmente posible o valorar cuánto nos supone. Lo que debe ser nuestra meta es la continuidad de nuestro negocio. Primero pensar, luego invertir.
- La tecnología de seguridad es la solución a todos los riesgos. No debemos plantearnos que podemos asegurar al 100% nuestro negocio invirtiendo en tecnología. Empecemos por analizar cuáles son los riesgos más importantes para nuestro negocio, esos que pueden comprometer su continuidad. Pensemos a continuación qué medidas tecnológicas podemos utilizar para mitigarlo (¡y no decimos eliminarlo!), cuánto nos cuestan y, a partir de ahí, decidir qué hacemos con el riesgo residual: asumirlo o derivarlo a un tercero (asegurarlo con una póliza).
- Los mejores productos del mercado dan la mejor seguridad del mercado. Esto no es un «ataque» contra los grandes fabricantes de tecnologías de seguridad, sino una llamada a la reflexión previa a la inversión. Una solución de mercado diseñada para una gran corporación no es siempre la adecuada ni protege mejor a una pyme. Parémonos a analizar las distintas opciones de mercado que protegen nuestro negocio, que son las adecuadas a nuestros riesgos. Pagar más no es sinónimo de estar más protegidos. No pensemos en componentes de seguridad concretos, sino en qué servicios tenemos que prestar desde nuestros sistemas de información y cuál es el riesgo al que nos exponemos.
- La seguridad es cosa de TI. Esto es un error muy habitual y mucho más grave de lo que se pueda pensar. Seguro que el departamento de TI está concienciado en cuanto a las medidas de seguridad que debe tomar para proteger los sistemas de información pero, ¿qué ocurre si tus empleados no lo están? No debemos dejar en manos de TI la seguridad, la buena opción no es cortar acceso a puertos, prohibir utilizar recursos o evitar repositorios compartidos de información. No todo se resuelve cortando a tus empleados el acceso a elementos que pueden facilitar su trabajo por miedo al uso que puedan hacer de ellos. Es mucho más eficiente a todos los niveles que tus empleados sean conscientes de los riesgos a los que se exponen y a los que exponen a la empresa con acciones inconscientes.
Pensemos en nuestra empresa, nuestro equipo y pongamos a su disposición las herramientas adecuadas para que, haciendo su trabajo, estemos protegidos