La seguridad de la información no solamente se refiere a aspectos tecnológicos, sino que literalmente abarca todos los ámbitos de las organizaciones modernas. Por esta misma razón, pretender hacerle frente al tema sólo con soluciones tecnológicas, suele ser insuficiente y, de hecho, es la razón principal del porqué fallan las estrategias de seguridad.

En el mundo híperconectado, el número de cosas que hay que cuidar es realmente grande, por eso el reto principal no es atender los temas específicos, sino la lista completa y hacerlo de manera balanceada, consistente y eficiente. Es un reto de organización y gobierno de TI.

Para afrontarlo, se necesita un enfoque integral que le dé la misma importancia a todos los posibles factores involucrados, por ejemplo, además de los accesos a sistemas, redes e infraestructura, hay que fortalecer una verdadera cultura de seguridad en la organización, incluso más allá de sus límites tradicionales, como por ejemplo, las familias de los empleados y los socios de negocio en general.

De los muchos marcos de referencia existentes, te sugiero revisar el del Instituto Nacional de Estándares y Tecnología de los Estados Unidos (NIST), mismo que es tomado como base para las estrategias de Cyber Seguridad del Gobierno y las grandes corporaciones de ese país. (www.nist.gov/cyberframework)

Este enfoque describe 5 funciones básicas a desarrollar:

1. Identificar los activos institucionales relacionados con información, así como las posibles amenazas en cada caso.
2. Proteger cada uno de los activos de información ante las amenazas conocidas y fortalecer todas las defensas para hacerle frente a las posibles amenazas que no conocemos todavía.
3. Detectar vulnerabilidades a través de un monitoreo proactivo y continuo de todos los elementos.
4. Responder rápida y eficientemente ante cualquier ataque.
5. Recuperar la operación y regresar a la normalidad lo antes posible.

Este enfoque describe 22 capacidades, que se deben desarrollar de manera continua a través de un modelo evolutivo de 4 niveles:

1. Nivel Parcial: Reactivo, con soluciones a la medida que no se aplican de manera consistente
2. Nivel de Riesgos Informados: La organización entiende que hay riesgos, incluso planes para mitigarlos, pero que avanzan muy despacio debido a la falta de recursos
3. Nivel Repetible: Es cuando se implementan estándares de seguridad a lo largo de la organización y se aplican de manera consistente.
4. Nivel Adaptativo: En este nivel la organización no sólo responde ante cualquier ataque, sino que proactivamente se prepara para las amenazas que aún no se manifiestan.

La ventaja de este enfoque –y de otros disponibles en el mundo– es que permiten hacer equipo con otros profesionales que comparten las mismas circunstancias en las que nos encontramos en muchas de las organizaciones en nuestra región. Las comunidades de práctica resultan ser muy efectivas en este caso también.

Tres consejos prácticos:

1. Haz tu propio análisis de fortalezas y debilidades: Si el enfoque que elijas es realmente integral, ocúpate de hacerte un check up rápido para detectar los puntos más vulnerables de tu organización.
2. Encuentra al eslabón más débil: En un mundo en el que casi todo componente de tu ecosistema de negocio puede ser el punto de entrada de un ataque, los sospechosos usuales son típicamente aquellos factores de los que nadie habla. Por ejemplo, ¿quién protege mi información cuanto ésta reside fuera de mi organización? Este debe ser tu punto de partida para una estrategia integral de seguridad de la información.
3. Traza un plan de evolución y véndelo internamente: Si puedes hacer la conexión entre el Estado futuro deseado y tus capacidades actuales a lo largo de todas las dimensiones posibles, tendrás suficiente materia para hacer un plan práctico y accionable en el corto plazo. Cuando lo tengas, véndelo internamente, ya que su ejecución requerirá, muy probablemente, la participación de todas las áreas de tu organización.

Mucha suerte.

___________________

El autor de este artículo, Alonso Yáñez, es Vicepresidente y CIO de Walmart México y Centroamérica.