- Investigar sobre la legislación y demás requisitos.
Esta puede parecer una forma extraña de comenzar su plan para la implementación de la ciberseguridad, pero también es la más efectiva. Si usted es o representa a una institución financiera, un organismo oficial o una organización de salud, lo más probable es que existan leyes o normas en su país que lo obliguen a implementar medidas de protección de seguridad de la información.
En algunos casos, incluso los proveedores y socios comerciales de instituciones financieras y oficinas gubernamentales están regulados; por ejemplo, en algunos países, los proveedores de servicios de tecnología de la información de los bancos se encuentran bajo supervisión del organismo oficial que supervisa a los bancos. Lo importante aquí es que el regulador ha comprendido que el sistema de TI de un banco es tan seguro como la empresa que desarrolla sus aplicaciones o provee los servicios de mantenimiento a los sistemas del banco; si alguien se infiltra en los servidores de esa empresa de TI, es muy probable que también tenga acceso a los sistemas informáticos del banco.
En la mayoría de los casos, será necesario que su empresa deba cumplir al menos con las leyes de protección de datos personales. Aún si usted no maneja ningún tipo de datos personales de sus clientes, es muy probable que sí tenga registros con datos personales de sus empleados.
De cualquier forma, seguramente se sorprenderá de la cantidad de leyes y normativas que existen. Comience por hacer una lista, y asegúrese de conocer los plazos exactos ya que el no cumplimiento de esas leyes y normas generalmente viene acompañado de elevadas multas.
También es necesario que revise sus obligaciones contractuales. Por ejemplo, si usted es una empresa de TI que provee servicios críticos a un organismo gubernamental, es muy probable que haya firmado con ellos un contrato que exige reglas estrictas de confidencialidad, definiciones del nivel de servicio, cláusulas de derechos de propiedad intelectual, reglas para control de acceso y muchas otras cuestiones a tener en cuenta. Otros contratos con clientes y proveedores también tienen requisitos que se deben cumplir de una forma establecida, y usted no querrá arriesgarse a perder sus clientes o a ser pasible de recibir multas.
- Definir los beneficios y obtener el apoyo de la alta gerencia.
¿Por qué es tan importante este paso?
La respuesta es bastante simple, pero, sin embargo, el apoyo de la alta gerencia demasiadas veces es subestimado. No existe proyecto o iniciativa (de ciberseguridad o de lo que sea) que pueda tener éxito sin el dinero ni la mano de obra necesarios para la implementación. Y las únicas personas que pueden proporcionar esos recursos pertenecen a la alta gerencia; aún si usted es el presidente de una empresa necesitará el compromiso, o al menos el acuerdo, de otros miembros de su equipo de dirección. Si ellos no apoyan el proyecto, pueden demorarlo, o incluso frenarlo, aunque usted lo respalde al 100%.
Ahora, la pregunta es ¿cómo obtiene el apoyo y compromiso de la alta gerencia? Como con todo lo demás en el ámbito de los negocios (y de la vida privada), usted debe encontrar algunos puntos de interés en común; es decir, algunos beneficios que traerá el proyecto no sólo para la empresa sino también para las personas que trabajan allí.
4 POTENCIALES BENEFICIOS QUE PODRÍA OBTENER SU EMPRESA CON EL PROYECTO DE CIBERSEGURIDAD.
No todos estos beneficios potenciales podrían aplicarse a su situación; lo importante es que usted encuentra al menos uno que marque la diferencia para su empresa.
Si en punto 1 usted detectó algún tipo de ley, norma o requisito contractual relacionado con la seguridad de la información, puede respaldar su proyecto de ciberseguridad por la importancia en el cumplimiento de todos los requisitos detectados. Entonces, el principal beneficio con este proyecto sería que tendrán la tranquilidad y la certeza de no estar omitiendo ninguna parte del rompecabezas, para que no tengan que pagar ningún tipo de multas.
- VENTAJA DE COMERCIALIZACIÓN
A menos que usted venda alguna clase de herramienta para seguridad de la información o servicios de consultoría, a primera vista parecería que la ciberseguridad y la comercialización no tienen mucho en común. Sin embargo, es necesario que usted les muestre a las otras partes involucradas (por ejemplo, los clientes) que puede administrar en forma segura la información que ellos le confían. Esto se puede hacer a través del proceso de certificación; los certificados más difundidos para las organizaciones son ISO 27001 y PCI DSS. En algunas situaciones no es necesario un certificado; por ejemplo, si tiene clientes muy grandes, simplemente puede pedirles que envíen un equipo de auditoría para que verifique si su nivel de seguridad es satisfactorio.
Esto puede ser una herramienta de venta para ayudar a su empresa a ganar nuevos clientes porque usted puede demostrarles a sus potenciales clientes que protegerá mejor que la competencia la información que ellos le deleguen. Esto, además, implica que sus posibilidades de retener clientes actuales serán mayores ya que puede probarles que usted es una opción más segura que otras empresas que intentan conseguir su negocio. Y la inversión en ciberseguridad generalmente es mucho menor que la ganancia potencial que se puede obtener de esos clientes.
- DISMINUIR LOS COSTOS:
La filosofía fundamental de la ciberseguridad es la prevención; usted invierte ahora para ahorrar dinero más adelante. También puede tomarla como su póliza de seguro; paga ahora para evitar posteriormente las consecuencias de algún incidente que ocasione daños.
El argumento principal es cómo garantizar que la inversión en controles de seguridad no superará los costos de los potenciales incidentes que se evitan. En otras palabras, la pregunta es cómo asegurarse que va a tener un rendimiento sobre la inversión en ciberseguridad.
- OPTIMIZACIÓN DE LOS PROCESOS COMERCIALES:
Encontrar una organización en la que todo funcione a la perfección es muy raro, incluso si así fuera, la situación generalmente es temporaria. De hecho, es muy probable que las empresas que no determinaron claramente su organización interna tengan mayores riesgos relacionados con la ciberseguridad. Por ejemplo, en las empresas de TI que crecen rápidamente el principal problema es que no encontraron tiempo para sentarse y pensar cómo optimizar sus procesos internos. Como consecuencia, no está muy bien determinado quién necesita hacer qué, quién está autorizado a tomar determinadas decisiones, quién es responsable de qué, y muchas otras definiciones. Comúnmente, el efecto que tiene este tipo de situaciones es que los empleados pierden tiempo tapando lagunas en la organización y pierden tiempo para concentrarse en su propio trabajo.
Como mencionamos anteriormente, la ciberseguridad muchas veces no es más que la definición clara de los procedimientos laborales; por ello, como ventaja adicional en la implementación de la ciberseguridad obtendrá una empresa mucho más organizada. La seguridad es principalmente el producto de procesos bien definidos, y debido a que la seguridad está presente en todas las áreas de su organización, este ordenamiento de su negocio abarcará un aspecto mucho más amplio que únicamente los procesos de seguridad.
- ¿CÓMO DETERMINAR LOS BENEFICIOS?
La mejor opción sería incluir uno o más de estos beneficios en la estrategia de su empresa; si pudiera encontrar una relación entre los beneficios de la ciberseguridad y sus objetivos estratégicos, daría en el blanco. Esto puede parecer demasiado a primera vista, pero evaluándolo detenidamente, no es una tarea imposible. Muchas veces, una sesión de tormenta de ideas puede generar este tipo de relaciones.
Por el lado personal, es vital definir beneficios que se ajusten a determinados jugadores clave de una empresa. Por ejemplo, su gerente comercial puede, en principio, oponerse a la idea de la seguridad de la información por una posible disminución de las ventas. Sin embargo, si le explica que un mayor nivel de seguridad de la información implicará que la competencia no podrá acceder a información confidencial (por ejemplo, detalles de sus propuestas) mientras esté negociando con un nuevo cliente, probablemente obtenga su compromiso activo. Pero permítame también mencionar aquí que no podrá usted solo encontrar beneficios para todos. En esta tarea probablemente tenga que incluir a otros miembros de su alta gerencia, como también a empleados de diversas partes de su organización y de distintos niveles jerárquicos. Este es un proceso continuo, no una decisión que se hace en algún momento. Esto es más evidente cuando tiene que ver con la actividad “diplomática” dentro de su empresa; usted no puede simplemente pretender que todos los miembros de la gerencia compartan su entusiasmo simplemente a partir de una presentación de 30 minutos con ellos. Descubrir los beneficios y persuadir a todos puede ser un gran trabajo.
