La creación de sólidas defensas de ciberseguridad para cualquier organización requiere muchos elementos importantes. Todo el mundo sabe que un cortafuegos fuerte es una primera línea de defensa esencial.
Por Doug Fisher, vicepresidente sénior y jefe de seguridad de Lenovo
También es fundamental contar con un software de última generación para monitorear sus redes, idealmente que incluya software impulsado por IA para identificar y repeler posibles ataques tan rápido como lleguen a su red. Y debe insistir en que solo los dispositivos aprobados con software de seguridad actualizado tengan acceso a su red. Todos estos son fundamentos de seguridad.
Sin embargo, el elemento más importante para protegerte de los ciberataques es tu gente, y no solo tus equipos de seguridad. Obviamente, desea personas experimentadas, talentosas y enfocadas en sus equipos de seguridad, que se aseguren de que todas las protecciones enumeradas anteriormente estén en su lugar y completamente operativas. Pero la verdad es que, para estar realmente seguro, necesita que todas las personas de su organización, desde ventas hasta finanzas, recursos humanos y el director ejecutivo, conozcan su papel en mantener segura su organización. Y para ello, es necesario crear una cultura de seguridad sólida.
El tema del Mes de la Concientización sobre la Ciberseguridad, "Mírate a ti mismo en el ciberespacio", se alinea con estos dos aspectos importantes para una ciberseguridad sólida. 0La primera es que todas las industrias necesitan más personas cualificadas y con talento que consideren la ciberseguridad como una carrera. Las amenazas a la seguridad siguen creciendo tanto en volumen como en gravedad, y el mundo necesita centrarse e invertir en la creación y el crecimiento del talento en ciberseguridad. Pero yo diría que la segunda parte, que todo el mundo sabe cómo puede formar parte de la consolidación de la ciberseguridad, es igual de importante y es esencial que se produzca una cultura de seguridad sólida.
¿Qué es una "cultura de seguridad primero"?
¿A qué me refiero con una cultura de seguridad sólida? Me refiero a una organización en la que pensar en la seguridad es tan rutinario e innato como pensar en el coste financiero de un proyecto o en los planes para la próxima fecha de lanzamiento de un producto. Al igual que las organizaciones se centran en la calidad en cada proceso, deben pensar en la seguridad de la misma manera. Pensar en la seguridad significa todo, desde incorporar seguridad en cada nuevo producto hasta pensarlo dos veces antes de abrir un enlace en un correo electrónico de una fuente incierta, o responder a una solicitud de información potencialmente confidencial por teléfono o redes sociales. En resumen, significa que la seguridad siempre es lo más importante para todos.
Para que todo el mundo se centre en la seguridad, primero necesita el apoyo de los niveles más altos de su organización. En el caso de Lenovo, todo comenzó cuando nuestro director ejecutivo creó el cargo de director de seguridad y lo convirtió en parte del comité ejecutivo de la empresa, además de tener un informe de línea punteada para la junta directiva. Esta estructura de informes brinda al CSO una gran cantidad de apoyo, lo que me da el permiso para tener conversaciones difíciles y tomar las medidas enérgicas necesarias para garantizar que la seguridad sea siempre una prioridad.
Ese alto nivel de apoyo también permite a una OSC adoptar un enfoque holístico de la seguridad. Especialmente en grandes organizaciones con múltiples unidades de negocio y líneas de productos, es muy fácil desarrollar un enfoque aislado para una amplia gama de cuestiones empresariales, incluida la seguridad. Sin embargo, hemos visto claros beneficios de una estructura unificada, lo que llamamos un enfoque One Lenovo, que reúne a los equipos de seguridad de toda la empresa. Reunimos a los líderes de la Oficina Principal de Seguridad de la Información, la seguridad de los productos, la seguridad de la cadena de suministro y la seguridad física para identificar los éxitos y plantear los problemas que deben abordarse. A menudo, encontramos lugares en los que las diferentes partes de la empresa pueden colaborar en las soluciones, al tiempo que se llega a un consenso sobre los principales retos que la empresa debe abordar. Ese enfoque es especialmente útil cuando se solicitan los recursos necesarios para abordar los problemas de seguridad.
Es por eso que el CSO necesita crear una asociación sólida con los otros líderes sénior de la organización, porque ningún CSO puede hacerlo solo. Esta asociación debe basarse en el entendimiento compartido de que los clientes esperan una fuerte protección de sus datos y privacidad, y que si no lo hacen, se corre el riesgo de dañar a largo plazo la reputación y la marca de la organización, así como las propiedades financieras y los puntajes ESG de la empresa. Teniendo en cuenta esto, el CSO es responsable de identificar los riesgos de seguridad y las posibles soluciones, y luego trabajar con la alta dirección para acordar las soluciones planificadas y encontrar los recursos para completar ese plan.
Una seguridad sólida incluye a todos
Pero después de alinearse con sus líderes sénior y sus equipos de seguridad, todavía tiene más del 90% de su organización que también necesita poner la seguridad en primer lugar. ¿Cómo se convierten en parte de la cultura de seguridad? La respuesta es ayudarles a entender cómo pueden ayudar y cómo una seguridad sólida beneficia a todos. Y la mejor manera de transmitir esta información es la formación. Dado el gran volumen de ataques a la mayoría de las grandes empresas, los empleados eventualmente se encontrarán en primera línea, generalmente en forma de un ataque de phishing. La sofisticación cada vez mayor de estos correos electrónicos falsos, alertas sociales, mensajes de texto o llamadas telefónicas significa que casi todos los días un empleado decide si hacer clic en un enlace en un correo electrónico bien disfrazado o denunciarlo en su lugar.
La formación cumple dos objetivos principales. En primer lugar, proporciona a los empleados las herramientas para identificar ataques disfrazados de alertas o saludos amistosos y saber qué hacer. En segundo lugar, recuerda a los empleados que deben estar atentos.
Tenemos capacitación obligatoria en toda la empresa cada año, y por obligatoria, me refiero a que nadie está exento, especialmente los altos ejecutivos. Y aunque ningún entrenamiento es perfecto, el nuestro ciertamente contribuyó a una disminución significativa en los ataques exitosos y a un aumento dramático en los ataques que se identifican y se informan a nuestros equipos de seguridad.
Ciertamente, la seguridad es un viaje, no un destino. Pero si puede crear una cultura de seguridad sólida en toda su organización y comunicar que todos, incluidos los altos ejecutivos, tienen un papel que desempeñar, se coloca en una posición mucho mejor para hacer que ese viaje sea lo más sencillo posible.
Doug Fisher, vicepresidente sénior y jefe de seguridad de Lenovo