Mito No. 1: Es lo mismo que tecnología de la información (TI) Imagine el siguiente escenario: un administrador de sistemas disconforme desactiva intencionalmente su aplicación central y borra sus bases de datos más importantes.
¿Es esto un tema de TI?
No, difícilmente sea una cuestión de TI; en realidad, es más un asunto de RR.HH.
¿Esto podría haber sido evitado por medidas de seguridad de TI?
No. La persona en esta posición necesita tener acceso directo a todos sus sistemas.
Por eso, la forma de prevenir este tipo de escenarios queda afuera del área tecnológica y tiene que ver con cómo seleccionar a sus empleados, cómo supervisarlos, qué clase de documentos legales se les ha hecho firmar, cómo se trata a esta persona en la empresa, y muchas otras cuestiones. No me malinterprete, la tecnología de la información y sus medidas de seguridad son extremadamente importantes en ciberseguridad, pero ellas solas no son suficientes. Estas medidas deben estar combinadas con otros tipos de protección para que sean efectivas.
Mito No 2: La alta gerencia no tiene nada que ver con la ciberseguridad Usted es consciente de que las medidas de seguridad no pueden ser implementadas sin dinero ni tiempo de trabajo de los empleados. Pero si los ejecutivos de su empresa no están convencidos de que esta protección justifica la inversión, no le proporcionarán los recursos necesarios. Por lo tanto, el proyecto fracasará.
Además, si los altos ejecutivos no cumplen las normas de seguridad y, por ejemplo, dejan un ordenador portátil (con una lista de sus mejores clientes junto con datos de ventas y correspondencia que pueda estar relacionada) sin protección en el aeropuerto, todos los demás esfuerzos de seguridad serán en vano.
Por lo tanto, sus gerentes de alto rango son una parte importante de la ciberseguridad.
Mito No 3: La mayor inversión será en tecnología Falso.
La mayoría de las empresas con las que he trabajado ya contaban con casi toda la tecnología necesaria. Lo que no tenían eran reglas sobre cómo usar esa tecnología en forma segura. Esto es como comprar un lujoso automóvil BMW nuevo y usarlo solamente para repartir pizzas.
La información estará protegida si todas las personas que tienen acceso saben qué está permitido y qué no y quién es responsable por cada pieza de información o de equipamiento. Esto se logra definiendo reglas claras; generalmente bajo la forma de políticas y procedimientos. Como norma general, yo diría que la inversión en tecnología generalmente es menos de la mitad de la inversión necesaria.
En algunos casos, hasta puede ser menor al 10%. El grueso de la inversión habitualmente se destina al desarrollo de políticas y procedimientos, capacitación y concienciación, etc.
Mito no 4: En seguridad no existe el rendimiento de la inversión (ROI) Sí, la seguridad cuesta dinero y, en general, esta protección no le reportará ingresos adicionales. Toda la idea de ciberseguridad es disminuir los costos relacionados con problemas de seguridad; es decir, incidentes. Si usted logra disminuir la cantidad y/o la duración de los incidentes de seguridad, ahorrará dinero. En muchos casos, los ahorros conseguidos son mucho mayores que el costo de las medidas de seguridad implementadas; es por eso que usted “ganará dinero” con la ciberseguridad.
Mito no 5: La ciberseguridad es un proyecto de una única vez Falso. La ciberseguridad es un proceso permanente. Por ejemplo, si usted desarrolla un procedimiento de respuesta a los incidentes que requiere que sus empleados notifiquen al jefe de seguridad de la información en su teléfono celular cada vez que se produce un incidente, pero luego esta persona deja de trabajar en su empresa, es obvio que usted no querrá que estas llamadas sigan siendo dirigidas a ese teléfono si desea que el sistema sea funcional. Debe actualizar sus procedimientos y políticas, pero también el software, el equipamiento, los acuerdos, etc. Y este es el trabajo que nunca acaba.
Mito no 6: El mito de la documentación El hecho de redactar una pila de políticas y procedimientos no significa que sus empleados automáticamente comenzarán a cumplirlos. La seguridad, generalmente, implica un gran cambio y, para ser francos, a nadie le gusta modificar las prácticas ya establecidas. Por ejemplo, en lugar de su vieja y querida contraseña “1234”, de repente, usted se encuentra con que tiene que cambiarla cada 90 días y que tiene que ser de ocho caracteres, de los cuales al menos uno debe ser un número y uno un carácter especial. ¿Qué significa esto? Que sus empleados se resistirán al cambio y que tratarán de encontrar formas para eludir estas nuevas normas. Yo le diré más adelante qué puede hacer para ayudarlos a superar esta resistencia.
