Este es un artículo escrito por Oscar Orellana.
A veces esta es una pregunta que uno se hace tarde, cuando estamos en tribunales por un juicio laboral, civil o penal, porque en muchos casos existe miedo en documentar las cosas, algunas veces nos excusamos en la falta de tiempo, en él para que nos vamos a amarrar solos a controles rígidos que entorpecen el giro del negocio, sin ver los beneficios que se pueden obtener de ello.
Pero, cuando por razones de crecimiento de la empresa se hace una auditoría, o al ver la necesidad de establecer responsabilidades, cuando al consultar a los empleados encontramos respuestas como estas:
- Hace 1 año que el empleado que expulsé de la empresa aún tiene sus claves de acceso a la intranet.
- El bodeguero ahora trabaja en la sala y aún conserva los privilegios, y eso fue hace 3 meses.
- Las claves de los correos se les fueron encargados a los TI y todavía no tenemos respuesta.
- No se cual es el procedimiento para denunciar que me están llegando correos extraños.
Cuando esto pasa nos encontramos con la necesidad de pedir explicaciones y la respuesta tiende a ser la misma, “siempre lo hemos hecho así, no se porque ahora es la duda, una vez hicimos un plan, pero no se dónde está”.
Lo que muestra un desconocimiento de quienes componen la empresa sobre las materias que producen los problemas que finalmente afectan a los pilares de la ciberseguridad es decir la integridad, confidencialidad y disponibilidad de la información.
Y es el punto donde se producen dudas, las dudas producen incertidumbre, y la incertidumbre produce pérdida, y por lo tanto provocan que la empresa pierda prestigio, sus datos caigan en personas que no deben tener la información, la empresa queda expuesta a personas que sean despedidas y quedan molestas, entre otras cosas que pueden terminar siendo un problema aún mayor.
Con todo ello, no solamente se pierde dinero por lo antes expuesto, sino también existen perdidas que se producen en razón a los gastos que se hicieron en la encriptación, en el cuidado de los sistemas computacionales, en buscar computadores nuevos, y tantos otros asociados a ellos.
Y por otro lado nos encontramos con la necesidad de tener que empezar desde cero cada vez que la empresa tiene algún problema que debe resolver, ya que cuando nos comenzamos a preguntar: ¿Esta es la primera vez que sucede? ¿Qué si hizo la vez anterior? ¿Cuál fue el procedimiento que realizaron antes y porque?, y las respuestas que encontramos son un gran y sepulcral silencio, donde todos tienen la culpa de todo y de nada, lo que nos hace tener que empezar de cero, lo que significa un gasto en hora hombre el cual se debe asumir.
Con esos antecedentes lo que finalmente se produce en la empresa una desmoralización por parte de los encargados de la seguridad de la información, de los demás empleados, y con la baja de moral de los empleados finalmente mayores fugas de información mediante los conductos informales de la empresa ayudando a la propagación de fakenews internas.
Para evitarlo recomiendo:
- Una auditoria externa para verificar los controles y la existencia de un plan de ciberseguridad escrito acorde al giro de negocio.
- Realizar un plan de ciberseguridad con controles que permitan mantener el SGSI, con una mejora continua.
- Capacitar a las personas respecto del plan implementado, dándolo a conocer a la totalidad de las personas que trabajan en la empresa.
- Establecer un plan de incentivos para quienes cumplan con los controles de buena manera, para hacer un efecto motivador en las personas, lo que reduce los riesgos y aumenta la satisfacción.
El enfoque en las máquinas en materia ciberseguridad es correcto, pero el enfoque en las personas nos ayuda a tener una seguridad completa e integrada. Personal con sentido de pertenencia es el mayor activo podemos tener en nuestras empresas.
Y ¿Cómo más podríamos aportar a mejorar la ciberseguridad a través de las personas?
Autor: Oscar Orellana
