Uno de los errores que ocurren con mayor frecuencia en las empresas es asignar el rol de dirección de la ciberseguridad a departamentos incorrectos impidiendo mejorar a largo plazo.
Juan, dueño y gerente de una fabrica mediana de tornillería ha decidido que es momento de invertir en ciberseguridad y protegerse ante las amenazas constantes que acechan en la red.
Desafortunadamente, Juan conoce su mercado, el proceso se fabricación de su producto y la administración de su empresa, entre otras muchas cosas, pero cuando le hablan de firewalls, servidores, VPNs o EDR le suena completamente a chino.
Llegado el momento de invertir cree que lo más conveniente es que Pedro, el responsable de informática que lleva más de 10 años con él, se haga cargo, al fin y al cabo, hablan la misma jerga o bastante similar y Juan no se tiene que preocupar más del tema.
Tras contratar los servicios, estos comienzan a presentarle recomendaciones a Pedro, el cual, las lee y las anota para cuando tenga más tiempo libre. Para Pedro no son una prioridad.
Su prioridad, como es normal, es mantener todos los sistemas funcionando para que no se detenga la producción. Actividad que le absorbe la mayor parte de su tiempo.
La mejora de la seguridad acaba de pasar a un segundo plano. Los especialistas contratados, por jerarquía, no pueden hacer cumplir a Pedro sus tareas en ciberseguridad.
6 meses después, llega el desastre. Los informes alarmistas de los especialistas se cumplen y la empresa tiene que detener su producción.
¿ Por qué he sufrido un ciberataque si he invertido en ciberseguridad ?
La respuesta es sencilla. El departamento de ciberseguridad no ha tenido la fuerza suficiente para que el departamento informático implemente las medidas de seguridad recomendadas. Medidas que en la mayoría de las ocasiones absorben una cantidad de recursos que es incapaz de asumir el departamento IT con el mismo personal previo a la contratación de servicios de ciberseguridad.
El proveedor o subordinado de Pedro no puede exigirle al propio Pedro que realice las tareas que considera más adecuadas para proteger su infraestructura.
Además, muchos problemas de seguridad están relacionados con desarrollos chapuceros, arquitecturas mal diseñadas o implementadas y en otras muchas ocasiones, pereza o dejadez por parte del equipo IT.
Lamentablemente, hay personas que cuando reciben críticas, aunque sean constructivas, dañan su ego y no las aceptan. Si la persona que las recibe es el superior de la persona que las emite, la situación todavía se complica más.
Entonces, ¿ Que departamento debería asumir este rol?
El departamento de ciberseguridad es recomendable que dependa jerarquicamente de gerencia o dirección.
En el momento en el que el departamento de ciberseguridad identifique un riesgo que pueda impactar en el negocio podrá discutir con gerencia si asumirlo, mitigarlo o eliminarlo.
Una vez decidido, dirección podrá asignar recursos, establecer prioridades y hacer cumplir con sus planes. En algunas ocasiones, será necesario ampliar el equipo IT o contratar servicios de terceros para implementar y mantener los nuevos sistemas.
Con este breve artículo espero haber iluminado el camino que puedes seguir para comenzar a introducir la ciberseguridad en el modelo jerarquico de tu empresa. En el caso de que ya tuvieras el departamento pero dependiera de IT, pregúntate, ¿Están haciendo todo lo posible para priorizar la ciberseguridad o lo han delegado a un segundo plano? ¿Le están dando la importancia que se merece?.
Si no es el caso, deberías plantearte cambiar la estructura jerárquica o tarde o temprano serás victima de un ciberataque. No seas un Juan en tu empresa y comienza a protegerte.