Cuáles Son Los Principios de Ciberseguridad

Cuáles Son Los Principios de Ciberseguridad

Cada sociedad tiene un conjunto de reglas y normas que se espera que cada miembro de dicha sociedad siga. Recuerdo cuando era un niño en Chicago cuando todas las mañanas me dijeron que hiciera el Juramento a la Bandera justo antes de mi primera clase en la escuela. Más tarde, fui adoctrinado en la creencia cristiana del catolicismo yendo a clases los domingos y recibiendo las diferentes ceremonias en las que los católicos creen. Más tarde, durante los fines de semana, había que tener fe en que el equipo de baseball de los Cachorros de Chicago algún día ganarían la Serie Mundial, lo cual hicieron. Valió la pena.

La ciberseguridad no debería ser diferente.

Leí y leo muchos informes de estado de la profesión y el estado de la ciberresistencia, y cómo esta información debe compartirse y cómo los “C-Suites” (la alta gerencia) deben de entender el impacto comercial de no seguir las evaluaciones de riesgos de ciberseguridad adecuadas. En mi experiencia, estamos predicando a la audiencia equivocada cuando se trata de proporcionar un asesoramiento adecuado sobre ciberseguridad.

En esencia, la ciberseguridad está más cerca de la gente común de lo que a nadie le importa pensar. En mi publicación “¿Qué Es Ciberseguridad?”, analizo su etimología y definición que significa “asegurar y proteger lo que se maneja y se gobierna”. Literalmente significa “proteger la información y proteger los activos que crean dicha información”.

La información siempre ha sido y siempre será un activo intangible. Sabíamos sobre esto mucho antes que las computadoras exitiesen. Sabemos cuando algo es un secreto para el cual tenemos dos opciones que hacer con esta información: o lo mantenemos privado o lo hacemos público.

Cómo protegemos esta información determinará cuánto tiempo puede mantenerse en secreto. Nuestro desafío como humanos es elegir dónde colocar esta información además de nuestro cerebro. Recordar todos los detalles de algo que no solemos utilizar o hacer no es una tarea fácil, por lo tanto, si usted es como yo, lo escribimos.

Los comienzos de mi adoctrinamiento

En mi caso, tengo dos versiones de mi vida: antes del teléfono inteligente y después del teléfono inteligente. Antes de la llegada del teléfono inteligente, anoté mis citas, tareas y todos los detalles de mi vida en un pequeño cuaderno, que llevaba conmigo todo el tiempo. Luego vino el BlackBerry hacia donde la cual transferí toda esta información. De esta forma, si olvido algo, podría consultarlo con una simple búsqueda y también porque BlackBerry me enseñó a proteger mi información con una contraseña. Sentí que estaba asegurado. Cualquiera podría abrir mi pequeña libreta y ver mis notas, pero no mi BlackBerry.

Ahora, y después de varias BlackBerry, Palm Pilots, Androids y iPhones más tarde, sigo haciendo esto. Tengo todo en mi dispositivo sincronizado con la nube y mi computadora portátil. Porque ahora no solo se trata de olvidar, sino también de asegurarme de no perder esta información. Si pierdo mi teléfono inteligente, aún tengo acceso a mis datos, gracias a la nube y nuevamente, todo está protegido no solo por una contraseña sino también con una autenticación de dos factores.

Fui adoctrinado desde el principio para asegurar mi información digital, gracias a BlackBerry y ahora nunca ando con un dispositivo desprotegido.

Hace años ayudé a adoctrinar a mis padres, familiares y a mi esposa sobre cómo asegurar un dispositivo y nunca caminar sin protección porque saben que si lo hacen, cualquiera puede ver sus secretos.

Así es como se comienza a aconsejar a otros sobre cómo “proteger la información y proteger los activos que crean dicha información”.

Cómo adoctrinar a tu empresa

Hay dos maneras de ver esto cuando se trata de adiestrar personas en tu empresa. Primero, ¿tu empresa está altamente regulada por el gobierno? Si su respuesta es Sí, entonces tienes una ventaja aquí. Dejame explicar.

Un ejemplo de una industria altamente regulada es el sector de la Salud. Este sector tiene varias industrias, una de las cuales es la industria de la farmacéutica, donde yo solía trabajar. Yo manejaba y gerenciaba una división de sistemas de información para una empresa Fortune 500 regulada por el gobierno federal, específicamente, la FDA, la DEA y el Departamento de Salud federal de EE.UU. y sus contrapartes de Europa, Medio Oriente y Asia.

Sí, ¡eso es un montón de reguladores! Y cada uno con sus propios reglamentos.

La forma en que aprovechamos para adoctrinar a todos (100%) de los usuarios de computadoras en la empresa fue mediante la implementación de un programa de administración de identidad. Parte del programa fue capacitar a todos los usuarios de computadoras sobre cómo proteger sus identidades mientras usan una computadora.

Hicimos esto mediante la creación de un Procedimiento Operativo Estándar (SOP) que requería que cada persona con una ID de acceso a la computadora fuera capacitada por el Departamento de Sistemas de Información sobre cómo proteger su identidad virtual mientras trabajaba y mientras estaba en línea. Si no tomaban esta capacitación, entonces no podian acceder a una computadora y, por lo tanto, no tendrian trabajo. Esto también incluyó a la alta dirección, sin excusas y sin negociaciones para safarse de esta.

Parece dificil, pero funcionó. Esta capacitación fue parte del adiestramiento curricular de todos los empleados para desempeñarse en el trabajo y el departamento de recursos humanos se aseguró de que esto se incluyera en el registro y expediente de los empleados. Al igual que cualquier otro SOP, cada vez que se revisaba, se requería que se recapacitase al 100% de los empleados.

Todo esto fue posible porque había una estructura en su lugar y una voluntad de hacer lo correcto. Desde el principio, todos y cada uno de los empleados vieron lo serio que éramos con el programa de administración de identidades y todos, desde la alta gerencia hasta todos los usuarios de computadoras, se aseguraron de que todos cumplieran con el programa. Esto es una prueba de lo adoctrinado que éramos como cultura empresarial.

Una segunda forma de adoctrinar en su empresa es cuando no es una empresa altamente regulada, y generalmente, la falta de visibilidad y monitoreo por parte de las agencias reguladoras crea una cierta falta de responsabilidad en la capacitación en ciberseguridad del personal que trabaja en la compañía.

En este caso, debe tener la iniciativa y la disposición para hablar con tu(s) supervisor(es) y la alta gerencia mediante la creación de un programa similar y comenzar a negociar lo que se puede o no se puede hacer. Confíe en mí, todo lo que pueda enseñarles a los empleados es mejor que no tener conciencia de cómo proteger la información y los activos de la empresa.

Lea “Cómo Ser Exitoso en Ciberseguridad”, donde explico cómo hice una propuesta similar, sin siquiera haber sido empleado de tiempo completo para una de las corporaciones de conglomerados de periódicos más grandes.

Todos los informes de ciberseguridad dicen que se debe enseñar a los usuarios de computadoras a rendir cuentas y que los especialistas en ciberseguridad deben ser flexibles, pero nadie dice “cómo” hacer esto y no es solo el propósito del programa, sino el “cómo” lo que determinará si un programa tendrá éxito o no.

¿Qué hay de tu compañía? ¿Ofrecen al menos capacitación sobre cómo proteger su identidad?

by Edgar Vera, MS Cybersecurity

No Comments, Be The First!

Your email address will not be published.