Por Doug Fisher, vicepresidente sénior & director de seguridad, Lenovo

El software de última generación para monitorear tus redes, idealmente incluido software impulsado por IA para identificar y repeler posibles ataques tan rápido como lleguen a tu red, también es fundamental. Y debes exigir que solo los dispositivos aprobados y con software de seguridad actualizado tengan acceso a tu red. Estos son principios básicos de seguridad.

Sin embargo, el elemento más importante para protegerte de los ciberataques es tu gente, y no solo tus equipos de seguridad. Obviamente, quieres personas experimentadas, talentosas y enfocadas en tus equipos de seguridad, que se aseguren de que todas las protecciones mencionadas arriba estén implementadas y funcionen plenamente. Pero la verdad es que, para estar realmente seguros, necesitas que cada persona de tu organización –desde ventas hasta finanzas y recursos humanos, hasta el director general– conozca su papel para mantener segura a tu organización. Y para lograrlo, necesitas construir una cultura sólida de seguridad.

El tema de Mes de la Concientización sobre la Ciberseguridad – “Sé Parte del Ciber” – se alinea con estos dos aspectos importantes de una ciberseguridad sólida. 0La primera es que todas las industrias necesitan más personas calificadas y talentosas para considerar la ciberseguridad como una carrera. Las amenazas de seguridad siguen creciendo tanto en volumen como en gravedad, y el mundo necesita enfocarse e invertir en desarrollar y hacer crecer el talento en ciberseguridad. Pero yo diría que la segunda parte –que todos sepan cómo pueden ser parte de hacer más fuerte la ciberseguridad– es igual de importante, y ahí es donde una sólida cultura de seguridad resulta esencial.

¿Qué es una “cultura de seguridad primero”?

¿Qué quiero decir con una sólida cultura de seguridad? Me refiero a una organización en la que pensar en la seguridad es tan rutinario e instintivo como pensar en el costo financiero de un proyecto o en los planes para la fecha de lanzamiento de un próximo producto. Del mismo modo que las organizaciones se enfocan en la calidad en cada proceso, necesitan pensar en la seguridad de la misma manera. Pensar en seguridad significa todo, desde integrar la seguridad en cada nuevo producto hasta pensarlo dos veces antes de abrir un enlace en un correo de una fuente incierta, o responder a una solicitud de información potencialmente confidencial por teléfono o en redes sociales. En resumen, significa que la seguridad siempre está presente en la mente de todos.

Para lograr que todos se enfoquen en la seguridad, primero necesitas el apoyo de los niveles más altos de tu organización.  Para Lenovo, eso comenzó cuando nuestro CEO creó el puesto de director de seguridad y lo convirtió en parte del comité ejecutivo de la empresa, además de establecer una línea de reporte indirecta al Consejo de Administración.  Esta estructura de reporte le da al CSO una enorme cantidad de apoyo, dándome permiso para tener las conversaciones difíciles y tomar las acciones firmes necesarias para asegurar que la seguridad siempre sea una prioridad.

Ese alto nivel de apoyo también permite que un CSO adopte un enfoque holístico de la seguridad. Especialmente en organizaciones grandes con múltiples unidades de negocio y líneas de productos, es demasiado fácil desarrollar un enfoque aislado para una amplia gama de asuntos de negocio, incluida la seguridad. Sin embargo, hemos visto beneficios claros de una estructura unificada –lo que llamamos un enfoque One Lenovo– que reúne a los equipos de seguridad de toda la empresa. Reunimos a líderes de la Oficina de Seguridad de la Información, seguridad de productos, seguridad de la cadena de suministro y seguridad física para identificar éxitos y plantear temas que necesitan atención. A menudo, encontramos áreas en las que distintas partes del negocio pueden colaborar en soluciones, al mismo tiempo que llegan a un consenso sobre los principales desafíos que la empresa necesita abordar. Ese enfoque es especialmente útil cuando se solicitan los recursos necesarios para atender los temas de seguridad.

Y esa es también la razón por la que el CSO necesita crear una sólida alianza con los otros líderes sénior de toda la organización, porque ningún CSO puede hacerlo solo. Esta alianza debe basarse en la comprensión compartida de que los clientes esperan protecciones sólidas para sus datos y su privacidad, y cualquier incumplimiento en ese sentido corre el riesgo de causar daños a largo plazo a la reputación y la marca de la organización, así como a sus activos financieros y a las calificaciones ESG de la empresa. Dado esto, el CSO es responsable de identificar los riesgos de seguridad y las posibles soluciones, y luego trabajar con la alta dirección para acordar las soluciones planificadas y encontrar los recursos para completar ese plan.

La seguridad sólida incluye a todos

Pero después de alinearte con tus líderes sénior y tus equipos de seguridad, todavía tienes a más del 90% de tu organización que también necesita poner la seguridad primero. ¿Cómo pasan a formar parte de la cultura de seguridad? La respuesta es ayudarles a entender cómo pueden contribuir y cómo una seguridad sólida beneficia a todos.  Y la mejor manera de transmitir esta información es mediante la capacitación. Dado el enorme volumen de ataques en la mayoría de las grandes empresas, al final los empleados se encontrarán en la primera línea, por lo general en forma de un ataque de phishing.  La cada vez mayor sofisticación de estos correos falsos, alertas en redes sociales, mensajes de texto o llamadas telefónicas significa que casi todos los días un empleado decide si hacer clic en un enlace de un correo bien disfrazado o, en cambio, reportarlo.

La capacitación logra dos objetivos principales.  Primero, brinda a los empleados las herramientas para identificar ataques que se hacen pasar por alertas o saludos amistosos y saber qué hacer.  Segundo, les recuerda mantenerse vigilantes.

Tenemos capacitación obligatoria para toda la empresa cada año, y por obligatoria me refiero a que nadie está exento, especialmente los altos ejecutivos. Y aunque ninguna capacitación es perfecta, la nuestra sin duda contribuyó a una disminución significativa de los ataques exitosos y a un aumento drástico de los ataques que son identificados y reportados a nuestros equipos de seguridad.

La seguridad ciertamente es un viaje, no un destino. Pero si puedes construir una sólida cultura de seguridad en toda tu organización y comunicar que todos –incluidos los altos ejecutivos– tienen un papel que desempeñar, te colocas en una mejor posición para hacer que ese viaje sea lo más fluido posible.

Doug Fisher, vicepresidente sénior & director de seguridad, Lenovo