Invertir en Ciberseguridad siempre ha sido un problema en las empresas, desde la justificación para incluir en el presupuesto de TI proyectos enfocados en la prevención, detección y concientización de seguridad, hasta la propia implementación en los futuros años en diferentes plataformas debido a la gran resistencia al cambio y a la connotación de que siendo de gran valor inherente para la infraestructura de TI y de la empresa. Invitamos seguir leyendo esta interesante entrega que nos entrega el especialista en ciberseguridad Fabio Sánchez de OCP-Tech.
La elección es solamente de usted: Ciberseguridad
El articulista intenta brindar un enfoque totalmente diferente con táctica simples y sencillas en el tratamiento de la ciberseguridad en las empresas.
(americasistemas.com.pe. Lima, Perú – 14 de setiembre 2022) La Ciberseguridad siempre se ha visto como un sobreesfuerzo, una piedra en el zapato de los proyectos de TI que ya vienen retrasados por otros motivos y añadir principios de arquitectura de Seguridad y políticas es algo que muchos piensan que se puede “prescindir” con el fin de sacar el proyecto a tiempo.. y “después vemos como le agregamos la seguridad a la aplicación”.
Los retos que un área de seguridad enfrenta en el día a día tienen muchas dimensiones, tanto cultural, presupuestal, fechas límites de proyectos y obsolescencia técnica y de conocimientos, son la problemática que abordare en este articulo con algunas recomendaciones útiles tanto para empresas de sector público, como sector privado independiente del tamaño de la organización.
El primero que hay que abordar es el cambio cultural, este cambio por cliché que parezca debe empezar desde cada individuo en sus hábitos diarios tecnológicos y personales, educando sobre el manejo de los “datos” palabra que es clave en la estrategia de cada una de las dimensiones que voy a desarrollar. Son los datos personales, datos de clientes, datos financieros, datos estructurados y no estructurados que manejamos diariamente, los que debemos entender y gestionar individualmente, y nosotros desde el área de TI y Seguridad proporcionar las herramientas adecuadas, pero sin una adecuada educación ninguna herramienta es suficiente.
En un artículo que escribí para CISCO Bridge Magazine1 enumeraba los principales hábitos saludables de seguridad que debemos crear en nuestro entorno laboral y del hogar para prevenir y proteger nuestros datos.
– Dudar y sospechar de todo.
– Ser egoístas con la información.
– Ser estrictos con las contraseñas.
Con estos sencillos hábitos, ejecutándolo en cada acción en nuestro día a día podemos prevenir las amenazas de Ciberseguridad, tanto de vectores de ataque interno como externos.
Crear un portafolio de proyectos de Ciberseguridad y justificarlo ante un comité de inversión o mesa directiva no es una tarea fácil, empezando por el “Porque”, explicar la razón de invertir contra un enemigo invisible que se esconde en las sombras y justificar una inversión en varias herramientas para detección, prevención y respuesta por más cientos de miles de dólares es para muchos una “tontería”, nos hablan como ignorante en ejecución presupuestal y nos tildan de locos al querer invertir demasiada plata en algo que nadie usara y no agrega valor a la empresa y a los clientes. Padecemos sin saberlo del síndrome de Casandra, el don de la profecía otorgado por Apolo pero negado por el también el don de la persuasión, así aunque digamos la verdad nadie nos creerá, nadie confiara en nosotros, hemos hablado ya tanto de las amenazas, de los riesgos empresariales, del impacto en el negocio y de la probabilidad de que ocurra que nos hemos convertido especialistas en esto pero que nadie nos cree aunque sea una verdad irrefutable, entonces al justificar la inversión no logramos confianza e interés de los inversores para emprender dichos proyectos.
Desde OCP TECH estamos trabajando con diferentes herramientas para ayudar a las áreas de Ciberseguridad a crear hojas de ruta que permitan elaborar un portafolio de proyectos para su ejecución a corto (6 meses) y largo plazo (1 a 2 años), para esto es necesario poder entender como ejecutan los controles de Ciberseguridad en el día a día, los retos de negocio y nuevos proyectos y la capacidad de ejecución actual, para establecer a partir de un modelo de madurez la capacidad de Ciberseguridad actual y plantear un objetivo, con este ejercicio logramos responder el “¿Por qué?” “¿Para qué?” y el “¿Qué?” de un proyecto, preguntas esenciales que por fácil que suenen a veces no son tan simples de contestar a una mesa directiva o comité de compras.
Este ejercicio lo complementamos con casos de negocio (presupuesto alto nivel) y fichas técnicas de los principales proyectos a ejecutar a corto plazo que sin duda serán preguntas necesarias de contestar, incógnitas de cantidad como “Cuanto cuesta”, “Cuanto se demora” y “Cuantas personas se requieren”, preguntas imprescindibles que lograran romper el maleficio del don de Persuasión de Apolo y superar el Síndrome de Casandra.
En los próximos artículos abordare problemáticas no menos importantes sobre cómo crear cohesión con los equipos de proyectos para los cuales la Ciberseguridad no es un objetivo en los proyectos sin afectar las fechas de entrega, con la “Seguridad por Diseño” (Security by Design) que he extraído de la práctica de Arquitectura Civil o tradicional pero que aplican muy bien al mundo tecnológico y también como abordar obsolescencia técnica y de conocimientos que pueden abrumar al equipo tecnológico y que hoy viene siendo una carrera infinita en nuestro medio, teniendo los especialistas de seguridad obligados a estar al día, casi que al minuto a estar actualizados de las principales amenazas y ataques que están sucediendo en la industria en todo momento.
Referencias: Cisco Secure Bridge Magazine Edición N°5. Articulo Hábitos de Ciberseguridad: Prevención y acción por Fabio Sánchez. fabio@ocp.tech.
https://www.cisco.com/c/dam/global/es_mx/solutions/pdf/bridge-5-espanol.pdf
Autor del artículo:
Fabio Sánchez, director de práctica de Ciberseguridad en OCP Tech.
