Para muchos, la política del sistema de seguridad de una empresa es una declaración publicada en el sitio web que indica la intención de proteger los datos personales. En realidad, las políticas de ciberseguridad de las empresas son conceptos mucho más amplios y su aplicación mucho más consecuente.
En mi opinión, una política cumple su objetivo cuando sucede de la misma manera, cada vez y sin falta, de manera que generen armonía en donde son utilizadas. Y es que, entre más se practican, más confianza y sensación de seguridad causan aunque los riesgos no dejan de existir.
Ser conscientes de que un acto delictivo puede ocurrir en cualquier momento, lugares públicos o privados, de día o de noche, online o físicamente, nos prepara para tener alternativas de seguridad y poner en práctica posibles soluciones que minimicen el riesgo.
<<< Amenazas de ciberseguridad más comunes en Latinoamérica >>>
Tener certeza de poder disfrutar con seguridad todas nuestras actividades, ya sean laborales, personales o recreativas, es tener calidad de vida. Aunque alcanzar su punto máximo requiere varios ingredientes, es de vital importancia las medidas de autoprotección que desarrollamos y practicamos para no convertirnos en víctimas de actividades delictivas.
Desde que somos pequeños, la mayoría de nosotros podemos recordar a nuestros padres decir: “No hables con extraños, ni mucho menos recibas algo de extraños”. Si bien esta frase es extremista porque sabemos que la interacción humana es indispensable para nuestro desarrollo en una sociedad, la idea detrás de esta política es que nuestros padres querían comenzar a educarnos como tratar a personas extrañas.
Sin embargo, en el mundo de la tecnología pasa todo lo contrario. Normalmente son los hijos los que le enseñan a los padres sobre nuevas funcionalidades del smartphone, innovadoras aplicaciones o nuevas soluciones tecnológicas que mejoran nuestras vidas. Pero, ¿quién les enseña a ambos sobre ciberseguridad? ¿Cuáles deben ser nuestras medidas de autoprotección en el mundo digital?
Y aquí es importante poder ver la responsabilidad de concientización de ciberseguridad como un punto compartido. Es decir, nuestras empresas realizan campañas de concientización para que todos sus miembros conozcan y aprendan sobre los riesgos y peligros en nuestro mundo digital, y es importante hacer hincapié que no es solo para crear un bienestar organizacional. El bienestar, conocimiento, aplicación de políticas y medidas de autoprotección en nuestras casas, con nuestros hijos, en nuestras finanzas es muy importante también.
<<< ¿Qué herramientas puedo usar como protección de la información? >>>
Así como muchos de nosotros en Latinoamérica contamos con servicios de vigilancia en nuestros conjuntos residenciales, pero también tenemos una puerta que cerramos cada vez que ingresamos a nuestras viviendas y verificamos que solo las personas que conocemos puedan entrar a nuestro hogares. Estas mismas políticas deberíamos llevarlas a nuestro mundo digital. Por ejemplo, sabemos que el departamento de seguridad tiene herramientas para prevenir y detectar amenazas, pero dejar todas las medidas de seguridad en sus manos es como dejar toda la seguridad de nuestros hogares en manos del servicio de vigilancia.
Como líderes en las áreas de tecnología, debemos concientizar al interior de nuestras organizaciones que la seguridad es tarea de todos. Que la asistente administrativa puede recibir un correo de dian@gmail.com, y puede detectar que es un correo de un “extraño”, porque no tiene el dominio de la DIAN. La asistente debe saber cuales son las políticas para escalar esta posible amenaza de seguridad dentro de su empresa. De esta manera lograr el objetivo de la organización de ser eficientes y productivos.
Muchos colaboradores dicen que si no saben nada de tecnología, ellos no pueden detectar las amenazas. Si bien, debemos educarlos, hay una pregunta que siempre le hago ¿Puedes detectar a un delincuente en la calle? Posiblemente no, no somos policías, ni detectives. Pero cuando aprendemos ciertas medidas de autoprotección podemos sentir “que algo no está bien” y salir de ese lugar o nunca visitarlo porque la descripción fue suficiente como para lograr activar nuestras alarmas de alerta. Luego nos hacemos una auto política de no transitar ese lugar, y practicar dicha política nos da una sensación de seguridad.
Exactamente lo mismo pasa en digital. Tenemos que practicar y ejercitar verificar las URL, los correos electrónicos o los certificados de seguridad de las páginas web, y cuando no estemos seguros de algún sitio o contenido, debemos pedir ayuda.
La definición de “extraño” es complicada para muchos niños menores de 5 años. Los niños pequeños pueden tenerle miedo a las personas extrañas si no elegimos las palabras idóneas para que ellos entiendan. Por lo que muchos conocedores en la materia recomiendan establecer normas específicas y explicarles de una forma no amenazante que deben “consultar a mamá o papá antes de hablar con una persona desconocida”.
Lo mismo pasa en nuestras organizaciones. Los conceptos de phishing, ransomware o ingeniería social son bien conocidos y distinguidos por los departamentos de tecnología y seguridad, pero no por el resto de las áreas. Si aplicamos la política de no te comuniques con “extraños”, los comerciales no recibirían correos de nuevos prospectos y ni hablar como haría Recursos Humanos en sus procesos de captación y evaluación.
Debemos educar a nuestros colaboradores a reconocer comportamientos y/o comunicaciones extrañas, y enseñarles que pueden y deben consultar a las personas de seguridad ante dudas. Entre más consultas se generen, más conciencia se crea.
