Por Doug Fisher, Vicepresidente Senior y Director de Seguridad, Lenovo

El software de última generación para monitorizar sus redes, idealmente incluyendo software potenciado por IA para identificar y repeler posibles ataques tan rápidamente como lleguen a su red, también es crítico. Y debe insistir en que solo los dispositivos aprobados con software de seguridad actualizado tengan acceso a su red. Estos son todos fundamentos de seguridad.

Aún así, el elemento más importante para protegerlo de ciberataques es su gente, y no solo sus equipos de seguridad. Obviamente, desea personas experimentadas, talentosas y enfocadas en sus equipos de seguridad, asegurándose de que todas las protecciones enumeradas anteriormente estén en su lugar y funcionando plenamente. Pero la verdad es que, para realmente estar seguro, necesita que cada persona en su organización, desde ventas hasta finanzas, recursos humanos y el CEO, sepa su rol en mantener segura su organización. Y para lograr eso, necesita construir una cultura de seguridad fuerte.

El tema de Mes de la Concientización sobre la Ciberseguridad – "Véase a sí mismo en Ciberseguridad" – se alinea con estos dos aspectos importantes para una fuerte ciberseguridad. El primero es que todas las industrias necesitan que más personas calificadas y talentosas consideren la ciberseguridad como una carrera. Las amenazas a la seguridad continúan creciendo tanto en volumen como en gravedad, y el mundo necesita enfocarse e invertir en construir y desarrollar talento en ciberseguridad. Pero argumentaría que la segunda parte – que todos sepan cómo pueden ser parte de hacer que la ciberseguridad sea más fuerte – es igualmente importante y donde una cultura de seguridad fuerte es esencial.

¿Qué es una "cultura de seguridad primero"?

¿Qué quiero decir con una cultura de seguridad fuerte? Me refiero a una organización en la que pensar en seguridad es tan rutinario e innato como pensar en el costo financiero de un proyecto o los planes para la fecha de lanzamiento de un producto próximo. Al igual que las organizaciones se enfocan en la calidad en cada proceso, necesitan pensar en seguridad de la misma manera. Pensar en seguridad significa desde integrar la seguridad en cada nuevo producto hasta pensar dos veces antes de abrir un enlace en un correo electrónico de una fuente incierta, o responder a una solicitud de información potencialmente confidencial por teléfono o redes sociales. En resumen, significa que la seguridad está siempre presente en la mente de todos.

Para lograr que todos se enfoquen en la seguridad, primero necesita el apoyo de los niveles más altos de su organización.  Para Lenovo, eso comenzó con nuestro CEO creando el rol de Director de Seguridad y haciendo que fuera parte del comité ejecutivo de la empresa así como teniendo un informe de línea entrecortada al Consejo de Administración. Esta estructura de informes ofrece al CSO una tremenda cantidad de apoyo, dándome permiso para tener las conversaciones difíciles y tomar acciones contundentes necesarias para asegurar que la seguridad siempre sea una prioridad.

Ese alto nivel de apoyo también permite al CSO tomar un enfoque holístico de la seguridad. Especialmente en organizaciones grandes con múltiples unidades de negocio y líneas de productos, es demasiado fácil desarrollar un enfoque aislado de una amplia gama de problemas empresariales, incluida la seguridad. Sin embargo, hemos visto claros beneficios en una estructura unificada – lo que llamamos un enfoque de One Lenovo – que reúne a los equipos de seguridad de toda la empresa. Reunimos a líderes de la Oficina de Seguridad de la Información, seguridad de productos, seguridad de la cadena de suministro y seguridad física para identificar éxitos y plantear problemas que necesitan ser abordados. A menudo, encontramos lugares donde diferentes partes del negocio pueden colaborar en soluciones, mientras también se logran consensos sobre los principales desafíos que la empresa necesita enfrentar. Ese enfoque es especialmente útil cuando se solicitan los recursos necesarios para abordar problemas de seguridad.

Y también es por eso que el CSO necesita crear una sociedad fuerte con los otros líderes senior en toda la organización porque ningún CSO puede hacerlo solo. Esta sociedad debe basarse en la comprensión compartida de que los clientes esperan fuertes protecciones para sus datos y privacidad, y cualquier falta en hacerlo arriesga un daño a largo plazo a la reputación y marca de la organización, así como impactos financieros y daño a las puntuaciones ESG de la empresa. Dado esto, el CSO es responsable de identificar los riesgos de seguridad y las posibles soluciones, y luego trabajar con el liderazgo senior para acordar las soluciones planificadas y encontrar los recursos para completar ese plan.

Una Fuerte Seguridad Incluye a Todos

Pero después de alinearse con sus líderes senior y sus equipos de seguridad, todavía tiene más del 90% de su organización que también necesita poner la seguridad primero. ¿Cómo se convierten en parte de la cultura de seguridad? La respuesta es ayudarles a entender cómo pueden ayudar y cómo una seguridad fuerte beneficia a todos.  Y la mejor manera de transmitir esta información es la capacitación. Dado el volumen absoluto de ataques en la mayoría de las grandes empresas, eventualmente los empleados se encontrarán en la línea de frente, típicamente en forma de un ataque de phishing. La sofisticación cada vez mayor de estos correos electrónicos falsos, alertas sociales, mensajes de texto o llamadas telefónicas significa que casi todos los días un empleado decide si hacer clic en un enlace en un correo electrónico bien disfrazado, o reportarlo en su lugar.

La capacitación cumple con dos objetivos principales.  Primero, da a los empleados las herramientas para identificar ataques que se hacen pasar por alertas o saludos amistosos y saber qué hacer.  Segundo, recuerda a los empleados estar alerta.

Tenemos capacitación obligatoria en toda la empresa cada año, y por obligatoria, quiero decir que nadie está exento, especialmente los ejecutivos senior. Y aunque ninguna capacitación es perfecta, la nuestra ciertamente contribuyó a una disminución significativa en los ataques exitosos y a un aumento dramático en los ataques que son identificados e informados a nuestros equipos de seguridad.

La seguridad ciertamente es un viaje, no un destino. Pero si puede construir una cultura de seguridad fuerte en toda su organización y comunicar que todos – incluidos los principales ejecutivos – tienen un papel que desempeñar, se posiciona en una mucho mejor posición para hacer que ese viaje sea lo más fluido posible.

Doug Fisher, Vicepresidente Senior y Director de Seguridad, Lenovo