Ciberseguridad en la empresa, responsabilidad de todos y del CEO, el primero

La gran mayoría de gerentes, directores ejecutivos o CEOs (que “mola” más) centran todos sus esfuerzos en ser grandes líderes: suelen ser inteligentes, visionarios, inspiradores y plenamente conscientes de sus responsabilidades frente a la organización, el consejo de administración y los accionistas. Del mismo modo, en empresas pequeñas, sin tanta estructura ni “parafernalia” ocurre lo mismo, aunque el gerente sea el más versátil todo-en-uno.

Si hay algo, sin embargo, que los CEOs suelen dejar, sino desatendido, al menos, no es atendido con la importancia que debería, es la ciberseguridad de su empresa. Cierto que en las grandes estructuras ese es el trabajo de los CIOs o CISOs, pero por tratarse de un aspecto con potenciales consecuencias nefastas para la viabilidad de la organización, debería ser una prioridad en su gestión, a la altura de la cifra de ventas o la rentabilidad de su sistema productivo.

Evidentemente esos dos grupos, (CIOs y CISOs), junto con el imprescindible equipo legal de la compañía, constituyen el pilar de la defensa de toda empresa contra el robo de activos, desde algoritmos y productos y sistemas patentados hasta listas de clientes o información confidencial. Como encargados de hacer cumplir estas leyes, estas personas compran el software y el hardware necesarios y ejecutan un plan para proteger a la empresa de posibles amenazas dentro y fuera.

Repito que, en pequeñas compañías o negocios, el funcionamiento es el mismo, aunque haya varios roles asumidos por las mismas personas.

Sin embargo, esos grupos no pueden realmente hacer bien su trabajo sin la participación e implicación del CEO y su liderazgo en el establecimiento de esa política. Es él quién debe establecer los límites de lo que es un comportamiento aceptable, qué puede o debe ser correcto o incorrecto dentro de la organización y, sobre todo, vincular el plan de seguridad con los objetivos estratégicos globales de la compañía.

Hay muchas directrices de un Plan de Seguridad que dependen directamente de la decisión que tome el CEO en determinados aspectos del día a día de la empresa. Por el mero hecho de afectar a toda la organización: desde el más alto directivo en el escalafón hasta el empleado de menos rango jerárquico. Todas aquellas personas que manejen información confidencial, dispositivos con cuentas corporativas o la intranet de la empresa, por citar solamente tres ejemplos, son susceptibles de causar una brecha de seguridad con potenciales nefastas consecuencias para la empresa pudiendo provocar incluso, en el peor de los casos, el cierre.

Algunas cuestiones fundamentales que afectan al diseño de un Plan de Seguridad y dependen, en gran medida, de todo CEO, pueden ser:

  • Determinar qué información necesita ser protegida
  • Definir quién tiene acceso a ella
  • ¿Qué sistemas existen para asegurar los datos más sensibles?
  • Relacionar a quién o quiénes se les permite llevar el trabajo, y por tanto la información, a casa
  • Asignar a todos los miembros de la organización un nivel de riesgo y privilegios de acceso adecuados a su cargo
  • Implementar los canales de comunicación adecuados entre los departamentos y, específicamente, entre TI, departamento legal, recursos humanos y departamento de seguridad
  • Desarrollar una política para el control de la información confidencial y credenciales de acceso a ella de empleados que cambian de puesto, se van a otra empresa o cesan o son despedidos.
  • ¿Quién tiene acceso a información propietaria y la capacidad de manipular y compartir archivos a través de plataformas corporativas?
  • Establecer normas de uso de dispositivos externos (USB, discos duros, etc)
  • Regular el uso de las Redes Sociales, tanto las corporativas como incluso, las privadas de los empleados.
  • Determinar quién debe tener cuentas de correo corporativo y regular adecuadamente su uso.
  • Qué dispositivos (smartphones, tablets, portátiles,…) se pueden utilizar en el trabajo y/o llevarse a casa
  • Decidir, por ejemplo, quién tiene privilegios de impresión

La relación sería interminable. Y todas ellas dependen, en gran medida, del conocimiento del CEO de la situación y si implicación en la ciberseguridad de la organización.

Lo que quiero destacar es la importancia que tiene en la seguridad de la empresa las acciones que todos y cada uno de los empleados puedan llevar a cabo. Basta un uso no debido por un solo empleado para que la seguridad de la organización pueda verse comprometida.

Esto es un hecho. Todo CEO debería ser consciente de ello, conocer el grado de concienciación que tiene toda la compañía en relación con las cuestiones planteadas (y muchas otras) y planificar las acciones formativas necesarias para que toda su organización conozca los riesgos, sepa manejar cada situación concreta y no ponga en riesgo la seguridad de la organización con ninguna acción peligrosa (ya sea por error, desconocimiento o intencionadamente).

Formación y concienciación en ciberseguridad, constante y a todos los niveles. Es la mejor defensa y la mejor arma que tenemos para defender la seguridad de la empresa. Como dice el gran Angelucho: “somos nuestra mayor vulnerabilidad, pero también nuestro mejor antivirus”. Y esa frase es extensible a todos y cada uno de los miembros de una organización, tenga el tamaño que tenga. Formémosles para limitar en lo posible los riesgos de la empresa.

#fun4DJ #fun4CyberSecurity

Formacion en ciberseguridad en la empresa

Por | 2017-09-29T10:36:41+00:00 marzo 27th, 2017|Blog, fun4CyberSecurity|No hay comentarios

About the autor:

#fun4DJ & CEO en fun4Shoppers || Digital Marketing – Social Media – Web Design – Events&Music – fun4CiberSecurity – Geek & Knowmad || En constante aprendizaje en un mundo en el que lo que hoy vale, mañana está obsoleto – Huyo de los jetas, de los vendedores de humo y de quienes pretenden aparentar – Si necesitas algo de mí, tan solo pídemelo – Creo en las personas – Always searching #PureLife – Si me dices ven, lo dejo todo

Deja un comentario