Seguridad empresarial: una para todos y todos para una

La CBSO actual se enfrenta a muchos y diversos riesgos - desde fraude y delitos cibernéticos hasta desastres naturales y cuestiones geopolíticas - en diversas líneas de negocio. La clave es lograr una convergencia total combinando habilidades en TI, conocimiento del panorama digital y aplicación de la ley para garantizar una cobertura de seguridad integral dentro de la organización.

Para tener éxito en este papel, también hay que aprender a adaptarse. Esto significa no sólo actuar como asesor de seguridad, sino también ser un líder versátil que pueda inspirar a los empleados a asumir colectivamente la responsabilidad de la seguridad. En este artículo intento explorar la evolución del papel de una CBSO y ofrecer diversas estrategias para que empresas de todos los tamaños cultiven una cultura que priorice la seguridad. Pero ¿por dónde deberían empezar las empresas?

 

Paso 1. Alinear la estrategia de seguridad con la visión empresarial

La función principal de una CBSO es ayudar a generar crecimiento en la empresa y, al mismo tiempo, mantener a raya las posibles amenazas que surjan.  Para lograr esto, se deben alinear las prácticas de seguridad con la estrategia y visión comercial. Nunca deberíamos perder de vista este enfoque desde el punto de vista de la seguridad, ya sea implementando un nuevo servicio para nuestros clientes, instituyendo una nueva política interna o formando a nuestros empleados o socios.

Tomemos como ejemplo un ciberataque: los grupos de ciberdelincuentes utilizan formatos, estructuras y funciones de negocio que se asemejan a los de las empresas convencionales. Aunque estas amenazas operan discretamente, cada vez son más tenidas en cuenta por el gran público, tanto personal como profesional; no sólo por los expertos en ciberseguridad. Por tanto, la ciberseguridad no puede funcionar como un silo; debe encuadrarse dentro de la estrategia empresarial.  Alinear la estrategia de seguridad con la visión organizacional no solo ayuda a proteger a la empresa y a sus clientes, sino que también puede ayudar a impulsar el impacto comercial y proteger la marca.

 

Paso 2. Garantizar la seguridad desde el diseño

Al priorizar la integración de medidas de seguridad en todas las facetas de las operaciones, las empresas se vuelven más fuertes contra posibles amenazas y vulnerabilidades. Cuando se desarrolla un nuevo producto, es primordial tener en cuenta la seguridad desde su creación. Es lo que llamamos "seguridad por diseño". Los equipos encargados de la seguridad capacitan a los desarrolladores periódicamente para garantizar que el desarrollo de productos tenga seguridad integrada desde su origen. Tener presente la normativa es crucial, ya que garantiza el cumplimiento continuo de las regulaciones de datos en todos los mercados globales. Incorporar la seguridad desde el diseño es fundamental para la empresa y para todos los actores implicados. Cuando se hace correctamente, puede ayudar a fomentar la confianza entre empleados, clientes, proveedores y socios.

 

Paso 3. Estar dos pasos por delante de las amenazas

Para estar dos pasos por delante de las amenazas, se necesita un equipo de profesionales de la seguridad y un plan sólido para mantener el negocio funcionando sin problemas, incluso cuando las cosas van mal. Trabajar en conjunto con la empresa es clave. Al ser un participante activo en el negocio, el equipo de seguridad puede brindar información valiosa y sugerencias de actuación cuando más necesario sea.

La planificación de la continuidad del negocio va más allá de los límites de la organización e incluye la colaboración con proveedores externos. Por ejemplo, durante momentos de disrupción global como la pandemia de COVID-19, la colaboración con socios locales fue esencial para garantizar la continuidad del negocio con los clientes en cualquier parte del mundo. Con un programa de resiliencia empresarial sólido, global, integrado y administrado por un equipo de expertos que tuvieron en cuenta diversos escenarios de amenazas, se pudo tomar las medidas necesarias con el objetivo de ayudar a garantizar que los servicios esenciales siguieran siendo operativos para los clientes. Durante la pandemia, todos tuvimos que prepararnos para mitigar posibles interrupciones del servicio en caso de que nuestros socios locales tuvieran algún problema, en, por ejemplo, la gestión de sus nóminas. Apoyar a los proveedores externos debe ser una parte central de la estrategia: garantizar que cumplan con los mismos procesos de seguridad que se esperan dentro de la organización. En el panorama empresarial actual no hay lugar para interrupciones. Los clientes necesitan estar seguros de que su empresa cuenta con el personal, la tecnología y los procesos necesarios para salvaguardar sus intereses.

 

Paso 4. A nivel personal

Contar con una cartera de herramientas de seguridad potentes y tecnológicamente avanzadas es crucial para la protección, identificación y hacer frente a posibles ataques, sean de la naturaleza que sean. Un error humano o una vulnerabilidad importante, suele ser aprovechado por ciberdelincuentes a través de tácticas de ingeniería social como el phishing o suplantar identidades para extraer información confidencial. En el ámbito de la IA generativa (Gen AI), el error humano también puede exponer vulnerabilidades que las amenazas cibernéticas pueden explotar.

Por eso, las empresas deben colaborar estrechamente con los desarrolladores para reforzar sus defensas. Es esencial supervisar cuidadosamente el uso de nuevas tecnologías como Gen AI para mejorar las medidas de seguridad, garantizando que cualquier mejora se realice sin comprometer ningún factor. Para fortalecer la seguridad en el lugar de trabajo, todos deben comprender por qué es importante y qué significa para ellos. Para explicar a los empleados el impacto de la seguridad dentro de sus funciones específicas, un buen punto de partida es transformar la seguridad protocolaria de la oficina en un compromiso convincente que nos haga a todos responsables. Si saben cómo sus responsabilidades pueden afectar a su marca, a sus clientes y a sus compañeros, será más probable que tomen medidas. También es positivo compartir situaciones reales que resalten los posibles impactos de los fallos de seguridad en el lugar de trabajo.

Otra técnica útil es ofrecer sesiones de formación interactivas que incluyan juegos de roles o escenarios gamificados. También es interesante incluir contenido relevante en los canales de comunicación interna. Los temas ayudan a educar a los empleados sobre la importancia de la seguridad en sus vidas y cómo pueden protegerse a sí mismos y a los demás en diferentes contextos. Es igualmente importante tener una estrategia de comunicación bien definida que permita poder tomar una decisión sobre qué, cuándo y cuánta información compartir con los empleados sin causar un pánico innecesario. Lo importante es que la plantilla esté preparada, no asustada.

 

Paso 5. Probar, medir, repetir

Medir periódicamente el desempeño de la seguridad es vital para tener una defensa sólida. Esta acción puede incluir evaluaciones diarias de intentos de ataques y vulnerabilidades potenciales, junto con informes semanales o mensuales para obtener una descripción general completa. Compartir informes periódicamente con varias unidades de negocios garantiza que las partes interesadas tengan una imagen completa del panorama de riesgos corporativos, se fomente una cultura de conciencia y se tenga capacidad de respuesta en materia de seguridad. Cuando corresponda, también sería aconsejable compartir actualizaciones con los empleados en las reuniones internas o en su intranet. Cuanto más sepan, más preparados estarán.

 

Conclusión

Dominar el rol de CBSO va más allá de las habilidades técnicas: exige aprendizaje continuo, mantenerse informado sobre las tendencias de ciberseguridad y comprender las complejidades dentro de las empresas. Este enfoque interconectado permite anticipar y mitigar eficazmente los impactos en la seguridad. La educación continua también es vital para los ejecutivos, empleados y socios. Proteger los activos y la marca de una empresa es una responsabilidad compartida y, como he comentado anteriormente, el objetivo es preparar a la gente, no infundir miedo. Implementar las estrategias que he descrito en este artículo puede ayudar a marcar una diferencia significativa; no debería ser una tarea abrumadora, sino más bien un esfuerzo colectivo logrado a través de pequeñas acciones a lo largo del tiempo.

 

Por Anaïs Beaucousin, Chief Business Security Officer de ADP Internacional