Vivimos en la era de la globalización, la digitalización y de Internet de las Cosas (IoT); la cultura del “siempre conectados”, en la que las fronteras de la vida profesional y personal ya no son tan nítidas, solo complica el escenario. Por otra parte, la actividad empresarial se basa en tecnologías de movilidad, IoT, cloud, virtualización, inteligencia artificial… lo que obliga a dedicar un mayor esfuerzo en la protección de los activos, incluidos los datos de clientes y proveedores, en un escenario a menudo complejo y desconocido.

Las posibilidades que tienen ahora los hackers son muchas y muy variadas. Ni siquiera hace falta ser un informático experto para llevar a cabo un ataque, que puede llegar a ocurrir por un error en la configuración o protección de un equipo, o por su mal uso. Ante ese escenario, ya no tiene sentido protegerse solo de posibles ataques sofisticados y dirigidos específicamente a nuestro negocio. Nuestra empresa puede ser víctima colateral en un ataque a otras compañías, sectores o regiones geográficas. Eso nos obliga a todos a velar no solo por la seguridad de nuestra propia organización, sino también a evitar que se convierta en el punto débil dentro de un sistema conectado, de forma que el ataque acabe afectando a un tercero.

Imposible proteger todo
En cuanto a los activos a proteger, debemos ser conscientes de que ya no es posible proteger todo y eliminar todos los riesgos. Se requiere priorizar y empezar por lo más importante. Cada empresa sabe mejor que nadie de qué activos dispone y cuáles son críticos para que sus operaciones se desarrollen con normalidad. Por eso, es recomendable que cada una defina bien cuáles son los recursos y datos que es preciso asegurar para garantizar la actividad.

Con ese punto de partida, se hace necesario definir una estrategia de protección. Para ello, es imprescindible trabajar de forma transversal con todos los departamentos de la empresa, así como incorporar los sistemas, herramientas y metodologías especializadas y, finalmente, dejarse asesorar por expertos en seguridad. De esa labor deben salir unos protocolos que todos los empleados conozcan, entiendan y sigan. Eso requiere, por lo tanto, poner en marcha y mantener iniciativas de formación para toda la plantilla. Solo de esa forma será posible crear una cultura donde todos contribuyan a mantener un nivel adecuado de seguridad y sean capaces de detectar brechas o incidencias sospechosas. Este plan puede incluir también acciones formativas dirigidas a los clientes que utilizan la infraestructura, productos o servicios de la organización.

Imagen obetenida en bluetc.es.

Por último, se debe definir un plan de contingencia para que la organización esté preparada a fin de actuar en caso de sufrir un ataque. Si se produce una incidencia, el objetivo tiene que ser reestablecer la actividad y volver a la normalidad lo antes posible con el mínimo daño. Ese plan se debe poner a prueba con ensayos prácticos y tras experimentar los ajustes necesarios, para así poder adaptarlo a las cambiantes condiciones del entono.

Implicaciones legales y competitivas
Aunque la responsabilidad de poner en marcha un plan integral de seguridad en la organización reside en la alta dirección, ya no basta con iniciar el proceso y delegar la ejecución y mantenimiento en el departamento relacionado con las tecnologías de la información y las comunicaciones. Cuando hablamos de seguridad, todos debemos sentirnos responsables. Debemos conocer los peligros que pueden afectarnos, ser capaces de identificarlos y de actuar convenientemente cuando tengan lugar. La dirección, por su parte, se debe ocupar de formar a sus empleados, de proporcionar las herramientas necesarias para la protección de la empresa y, muy importante, de comunicar a las autoridades los incidentes que se produzcan, de acuerdo a la legislación vigente en cada momento.

Ya hay muchas organizaciones que van por delante de la legislación, pioneras en buenas prácticas: mantienen unos altos niveles de seguridad y se someten periódicamente a las auditorías externas realizadas por empresas especializadas en detectar posibles riesgos. Para esas organizaciones pioneras, esta actividad de control supone una ventaja competitiva, pues ellas no entienden la seguridad como una obligación, sino como una forma de fidelización de los clientes, demostrándoles que en ningún otro sitio podrán sentirse más seguros.

Miguel Ángel García Matatoros, director general de Blue Telecom Consulting.

Miguel Ángel García Matatoros es director general de Blue Telecom Consulting (en Twitter, @BlueTC_Com), consultora internacional para el sector de las telecomunicaciones.