Hoy en día dependemos enormemente de las tecnologías de la información para el desarrollo de nuestra actividad rutinaria; a raíz de ello, la seguridad de los datos se ha convertido en un aspecto indispensable para la organización; pues, el éxito de la misma depende en gran manera de la confiabilidad, disponibilidad e integridad de toda la información que la sustenta. En este sentido, se debe entender que la seguridad no es solo una idea, sino un conjunto de tareas cuya responsabilidad recae tanto en el área tecnológica como en todas aquellas personas que capturan, almacenan, procesan y hacen circular los datos; de esta manera, la seguridad se convierte en una labor habitual, con resultados que dependen de las acciones y compromisos de todos los funcionarios de una organización.
Ahora bien, ¿Las personas que usan la información están preparadas para tomar las decisiones correctas cuando se enfrentan a los diferentes tipos de uso de los datos? ¿Conocen el procedimiento a seguir para garantizar que el tratamiento de la información sea siempre una actividad segura? ¿Dichas personas están preparadas para enfrentarse a un inesperado cambio en las condiciones de manejo de los datos?
Las respuestas a las inquietudes expuestas por parte de sus funcionarios reflejarán cuán formada está la cultura de seguridad dentro de su organización, y mostrará que tanto tiempo y esfuerzo dichos funcionarios invierten para realizar una labor adecuada libre de brechas y de vulnerabilidades en seguridad. Aquí es necesario comprender que la cultura en seguridad hoy en día es verdaderamente indispensable; pues, son los humanos los que generalmente fallan, son ellos los que se presentan como el eslabón más débil dentro de la cadena de tratamiento de información, y se ha demostrado en la práctica que si a ellos se les enseña lo que necesitan saber, la organización generalmente siempre se desempeñará de forma correcta.
Dado lo anterior, a continuación veremos algunos aspectos de la cultura en seguridad que es importante que se tengan en cuenta en su organización, de esta manera se mejorará esa cultura, se ayudará a sostener el tratamiento de los datos en el tiempo, se evitará que se afecte la continuidad del negocio, y se hará atractivo y gratificante realizar actividades que contribuyan a la seguridad de la información dentro de su empresa.
La participación es de todos: Debe desaparecer el concepto que el responsable de la seguridad es quien controla y supervisa los medios tecnológicos. La seguridad pertenece a todos, desde un ejecutivo comercial hasta la recepcionista, o desde el asistente contable hasta el gerente financiero, todos somos parte de la solución en seguridad de la información, y de la cultura de seguridad dentro de la organización. Para lograr este objetivo propuesto se debe hacer participar a todos los niveles de dirección dentro de la visión de seguridad de la empresa, permitiendo que sean ellos mismos quienes adapten sus procesos a los requerimientos estratégicos y legales en seguridad, y sean ellos quienes establezcan los rigores de supervisión que en adelante se aplicarán sobre sus áreas. Siempre será mejor tener un compromiso del jefe de área a través de sus mismas sugerencias que imponerle una serie de actividades que pueden no acomodarse a su forma de trabajar.
Mantenga una política de concientización permanente: Enseñar las normas básicas de seguridad, establecer las metas en el tiempo, retroalimentar sobre los problemas comunes que tienen los funcionarios para alcanzarlas, y examinar frecuentemente la comprensión de las amenazas es una tarea que no debe olvidar la organización. Es importante comprender que cuando se hacen las mismas actividades en el día a día se tiende a olvidar los riesgos que existen durante el tratamiento de los datos, por lo que habitualmente los usuarios se descuidan y cometen errores o son laxos con las restricciones e instrucciones establecidas por la organización. Realizar periódicamente, evaluaciones, encuestas o valoraciones de la seguridad de los datos será de gran utilidad para evitar ese letargo que se genera producto de la actividad rutinaria.
Establezca ciclos de vida para sus procesos digitales: La funcionalidad de los mecanismos de seguridad no es eterna; es decir, un modelado de acciones frente amenazas no siempre funcionará; dado que, dichas amenazas mutan o evolucionan en el tiempo, por lo cual, lo que hoy se presenta como un método efectivo para contrarrestar una amenaza mañana tal vez podría ser ineficaz. Las valoraciones del software y sus sistemas de seguridad deben ser periódicas, por ejemplo bimensuales, trimestrales o semestrales. Cuando el ciclo de vida de la seguridad de los procesos digitales no existe o es muy amplio se corre el riesgo que aparezcan brechas y vulnerabilidades no detectadas dentro de los sistemas de información.
Cree métodos para el reconocimiento de las personas que ejecutan correctamente todos los aspectos requeridos en seguridad. Si bien es cierto que los resultados en seguridad no deben ser producto de actos de competencia entre funcionarios, el reconocimiento público de aquellos que cumplen bien con las normas, y la motivación de los mismos con cierto tipo de incentivos afianzarán el deseo de todo el personal de hacer siempre lo correcto en términos de seguridad de la información. Por supuesto que promover un incentivo simplemente por cumplir con una responsabilidad no es una buena práctica; por lo tanto se deben asignar nuevos roles en seguridad a los funcionarios que logran acceder a dicho incentivo, ello permitirá que esa persona sienta que se valora su compromiso y que logra ascender en responsabilidades dentro de la organización.
Cree comités de seguridad de la información dentro de su empresa: Así como a nivel laboral existe el “Copasst” (Comité Paritario de Seguridad y Salud en el Trabajo), también será importante crear un comité de seguridad de la información que comprenda los diferentes intereses de la organización. A menudo muchos funcionarios, desde su perspectiva como trabajadores, son conscientes de las necesidades en seguridad de la información en sus áreas, y se dan cuenta de muchas fallas cometidas por sus compañeros; por tal motivo, es necesario involucrarlos para que así compartan su conocimiento, opiniones y sugerencias, con ello se podrán desarrollar planes de mejora de una mayor calidad dentro de la organización.
En conclusión, la cultura de la seguridad de la información contribuirá a transformar positivamente su empresa, y evitará, o al menos reducirá, las brechas y vulnerabilidades que pueden afectar el desempeño de la misma. Entonces usted se debería preguntar: ¿He alcanzado un buen nivel de cultura en seguridad de la información en mi empresa? ¿tal vez carezco de cultura de seguridad de la información en mi organización?
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
Muy valiosa esta información, gracias por siempre apoyarnos con estos temas tan importante! 👍🏻
Gracias a ti por resolver tus inquietudes con nuestros artículos