Ciberseguridad: ¡son las personas, estúp….!

La frase “es la economía, estúpido”, atribuida a James Carville, estratega de Clinton para la campaña presidencial de 1992 en EE.UU., se hizo famosa por hacer énfasis en un aspecto importante en el cual enfocarse, para así diferenciarse del otro candidato que además era el favorito (George Bush).

La costumbre ha hecho que esta frase sea adaptada a diferentes situaciones para, en mi opinión, enfatizar algo relevante a lo que; sin embargo, se presta poca atención.

Creo que eso está pasando en ciberseguridad ya que, si bien los aspectos tecnológicos asociados a la misma son indiscutibles, suele suceder que se deja de lado el factor humano como un elemento clave de la misma.

La verdad, es que todo lo invertido en tecnologías podría ser inútil si detrás de las mismas no existe un plan estratégico, destinado a formar dentro de las organizaciones personas competentes en sus roles, conscientes del valor de la ciberseguridad y comprometidas en mantenerla.

En base a la experiencia de mis casi 25 años trabajando en inteligencia y seguridad en la marina desde el año 1992; me atrevo a decir que, en el mayor de los casos, las brechas de seguridad que enfrentan las organizaciones se deben a una equivocación, incompetencia o negligencia.

Es más, quienes tienen experiencia en ciberseguridad podrán reconocer que, si bien la tecnología es importantísima, es crucial minimizar las fallas humanas, pues son los errores de las personas los que generalmente abren las puertas para la mayor cantidad de ataques exitosos.

En un interesante artículo publicado hace algunos años en la HBR[1], los autores señalaban como fundamental para minimizar el error humano en organizaciones, contar con personas que cumplieran con los protocolos, conocieran muy bien sus sistemas, respetaran los procedimientos, que tuvieran chequeos cruzados si cumplían funciones críticas, estuvieran empoderadas para detener procesos riesgosos y mantuvieran una actitud vigilante e inquisitiva.

Es por ello que dedicar esfuerzos a fomentar una muy fuerte cultura organizacional en ciberseguridad resulta relevante ya que permite, desde los niveles directivos hasta los puestos más subordinados, contar con personas conscientes de cuán importante es que los activos de información se mantengan disponibles, de por qué la información no puede ser conocida por quien no debe, por qué dichos datos deben mantenerse inalterados, cómo la ciberseguridad puede ser vulnerada, cómo reconocer riesgos y qué hacer si detectan situaciones anómalas.

Claro está que inculcar una cultura no es trivial cuando se entiende como el conjunto de conocimientos, buenas prácticas, procedimientos y pautas que en un proceso continuo de persuasión argumentativa; son internalizadas positivamente por los miembros de una organización, para así guiar su conducta respecto a los asuntos de ciberseguridad.

En efecto, fomentar una potente cultura organizacional en ciberseguridad es un proceso gradual, por lo que debe ser iniciado lo antes posible con convicción e involucrando a toda la organización. Por lo mismo, hacer lo necesario para cultivarla es, indudablemente, responsabilidad de la alta dirección.

Gracias por visitar el blog.

[1] Winnefeld, J.; Kirchhoff, C, y Upton, David. (2015). Cybersecurity’s Human Factor: Lessons From The Pentagon. Harvard Business Review, September 2015.

Un comentario

  1. Totalmente de Acuerdo, es mas, una Politica de Ciberseguridad no debe comenzar su implementacion si no existe un total y real compromiso de la Alta Direccion de la Organizacion

    Me gusta

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s