Crear una cultura de la seguridad

La seguridad ha pasado de ser responsabilidad exclusiva de un equipo a la de toda la organización. Debe formar parte de la cultura de una empresa que cada empleado adopte la seguridad y la utilice como un marco positivo para el comportamiento, la tecnología habilitadora y la toma de decisiones. Después de todo, un enfoque optimista y proactivo resulta vital para desarrollar una organización en la que la seguridad permita que todo el negocio se mueva más rápido y en condiciones de seguridad.

La creación de una cultura de la seguridad es el futuro, pero ¿en qué se traduce esto en la práctica y cómo pueden las compañías asegurarse de que están siguiendo principios rectores eficaces para avanzar por el buen camino? ¿Qué puedes hacer hoy para promover una cultura de la seguridad positiva?

¿En qué consiste una cultura de la seguridad?

Una cultura de la seguridad positiva es aquella en la que el equipo de seguridad trabaja en colaboración con el resto de la empresa. Si asumimos que las personas quieren hacer lo correcto, deberíamos hacer de la opción segura la más fácil. Esto trasciende la tecnología para centrarse también en la gente que la usa, y en la cultura de la organización. 

Tradicionalmente las empresas trataban la seguridad como una puerta que atravesar o un complemento al final de un proyecto. Era responsabilidad de las personas en cuyos cargos figuraba la palabra «seguridad». En cambio, las empresas de éxito consideran la seguridad y la resiliencia factores positivos, fundamentales para la cultura de una empresa y competencia de todos los ejecutivos, gerentes y empleados de la firma. Este enfoque garantiza que la seguridad sea fundamental en todos los procesos empresariales diarios, aumentando así la resiliencia y mejorando la capacidad de la organización para responder si hay algún problema.

Principios rectores

Para crear una cultura de la seguridad, las empresas deben seguir varios principios clave, cinco de los cuales describiremos brevemente en este blog:

1. Formación: Esto pasa por formar al personal acerca de la tecnología disponible, buscar el asesoramiento de especialistas en seguridad y trabajar para entender las políticas y normas en la materia. Al hacerlo, se maximiza la capacidad de cada empleado para ser la primera línea de defensa en el programa de seguridad de su empresa, lo que reduce la posibilidad de que se cometan errores simples que puedan dar lugar a un problema de seguridad. También incluye el establecimiento de las expectativas para todo el negocio, ya sea la configuración de seguridad que deben aplicar los desarrolladores de aplicaciones o las responsabilidades de aplicación de parches de los propietarios de los productos.

2. Higiene: una buena higiene en lo referente a la seguridad resulta vital para impedir que errores básicos se conviertan en amenazas de seguridad. Como tal, los empleados deben entender los peligros de unas prácticas de seguridad deficientes, como compartir cuentas de usuario y contraseñas. Entretanto, las empresas deben garantizar que sus sistemas de acceso faciliten unas prácticas seguras. Por ejemplo, los servicios de AWS ofrecen credenciales temporales que pueden durar minutos u horas y, una vez transcurrido este tiempo, ya no permitirán el acceso al sistema. Esto refuerza el control sobre el acceso a los servicios, reduciendo la probabilidad de un acceso no intencionado a los datos comerciales.

3. Aprender de los problemas sin culpar a nadie: siempre habrá problemas con las personas y el software que desarrollan. Lo importante es aprender de ellos y tomar medidas. Crear una cultura en la que el análisis de las causas de fondo se lleve a cabo de forma objetiva y sin estigmas contribuye a generar la capacidad de aprendizaje en una organización. No preguntes si la persona se equivocó, sino qué se puede hacer para garantizar que la próxima vez se tome la decisión correcta. También es deseable tener una cultura en la que las personas se sientan cómodas planteando problemas de seguridad porque saben que contarán con el respaldo del equipo de seguridad.

4. Colabora de verdad: trabajar con tus desarrolladores te ayudará a entender los procesos que realizan para desarrollar y lanzar el software. Esto contribuirá a que el equipo de seguridad comprenda dónde pueden permitir a los desarrolladores adoptar buenas decisiones de seguridad, o heredar la capacidad de modo que puedan centrarse en la lógica del negocio. Por ejemplo, integrar tu plataforma en la nube con tu proveedor de identidad corporativa y asegurarte de que los desarrolladores puedan crear permisos dentro de los límites acordados ayuda a eliminar el concepto de seguridad como puerta de entrada. Facilitar controles automatizados que se ejecuten en los procesos puede aportar una respuesta temprana a los desarrolladores y ayudarles a adoptar la postura de seguridad deseada.

5. Métricas y supervisión: ser capaz de cuantificar tu postura de seguridad y dar a las personas acceso a los datos es una buena manera de comunicar y entender dónde se encuentran los segmentos de alto rendimiento en tu organización. Si puedes identificar a los equipos que lo están haciendo bien o que están desarrollando soluciones innovadoras, serás capaz de ampliar su uso a todo el negocio. Decirle a la gente con qué métricas se les evalúa y ofrecerles herramientas de rastreo promueve una cultura que refuerza el enfoque positivo a la seguridad.

Una cultura de la seguridad mejorará considerablemente la postura de seguridad de una empresa al convertirse en el marco a través del cual todos los empleados se comportan, desarrollan la tecnología y toman decisiones. Sin embargo, para que sea un éxito, las empresas deben adoptar un enfoque estructurado en su implantación. Una cultura de la seguridad se basa en la educación, la higiene, la creación de modelos sobre amenazas y en el hecho de que todos los empleados colaboren como un equipo unificado. Si lo haces así, tu empresa mejorará su postura de seguridad, te posicionará mejor frente a la competencia y preservarás tus datos.

Carlos Sanchiz, Manager, Solutions Architecture en Amazon Web Services