La ciberseguridad no es (solo) un problema tecnológico

El trabajo remoto durante la pandemia hizo que las organizaciones tuvieran que intensificar rápidamente sus esfuerzos de ciberseguridad. Pero proteger el trabajo remoto no es solo tarea del equipo de TI: en última instancia, las empresas necesitan que la seguridad forme parte de la descripción de cada puesto. Y el ingrediente clave para que eso suceda es la confianza. El autor, el director de seguridad global de Box, identifica cuatro pasos para aumentar la confianza dentro de una organización: 1) Liderar con empatía; 2) capacitar a los empleados para que tomen decisiones eficaces; 3) Definir lo que más importa y 4) Respetar las distracciones.

••• A medida que el trabajo remoto sigue siendo un pilar de nuestra nueva normalidad, las organizaciones se dan cuenta de que el entorno de seguridad ha cambiado drásticamente. Sin embargo, garantizar el trabajo remoto no es únicamente tarea del equipo de TI, sino que también requiere confianza. La alta dirección debe poder confiar desde el principio en que sus equipos cuentan con sistemas seguros para el trabajo remoto. Los clientes deben confiar en que sus datos están protegidos. Los empleados deben confiar en que existen sistemas que los respalden. Para hacerlo bien, las empresas tienen que generar confianza en todo su ecosistema y hacer que la seguridad forme parte de la descripción de cada puesto. En mi trabajo como director de seguridad global en Box, he identificado cuatro medidas que los líderes empresariales y tecnológicos pueden aprovechar para aumentar la confianza entre las personas, los procesos y las plataformas que contribuyen a garantizar el trabajo remoto. ## Lidera con empatía. Vivimos en un mundo imperfecto y, fundamentalmente, la confianza gira en torno a las personas. La manera más eficaz de aumentar la confianza en todo su ecosistema es reconocer que siempre será un trabajo en progreso. Según mi experiencia, la forma más eficaz de generar confianza es escuchar, aprender y liderar con empatía. Cuando la gente le diga que los protocolos de seguridad son difíciles de seguir, no les dé lecciones, sino que trate de entender y encontrar soluciones que se puedan adoptar. Anime a las personas a hablar sobre sus errores y premie el comportamiento proactivo. La confianza dentro de una organización se multiplica cuando se da de manera generosa y sabia, y cuando las personas se sienten escuchadas. ## Capacite a los empleados para que tomen decisiones eficaces. Lamentablemente, algunos aspectos de las prácticas de seguridad se han ganado una mala reputación a lo largo de los años, ya que los equipos de TI bien intencionados implementaron soluciones de seguridad que pusieron barreras entre las personas y la información que necesitaban para hacer su trabajo. El hecho es que las personas encontrarán la manera de evitar las medidas de seguridad que no se ajusten a sus necesidades empresariales. Mientras los usuarios finales vean la seguridad como algo que se interpone en el camino, siempre nos enfrentaremos a riesgos innecesarios. La seguridad eficaz se consigue con herramientas y soluciones fáciles de implementar y seguir. Mi filosofía es que las mejores soluciones de seguridad estén integradas, no incorporadas. Esto significa dar a los empleados pautas para facilitar su toma de decisiones sin reducir su productividad y confiar en que tendrán éxito. La tecnología puede ayudarnos a lograrlo, como el uso de herramientas impulsadas por la IA que pueden aplicar automáticamente las clasificaciones de seguridad a los diferentes tipos de datos. Pero el objetivo va más allá de la herramienta: el objetivo es integrar sin problemas la seguridad en los procesos del flujo de trabajo sin imponer nuevos obstáculos. Invertir en soluciones de seguridad fluidas crea un sentido de propiedad y responsabilidad entre los usuarios por el contenido que crean y comparten. Esto ayuda a las personas a darse cuenta de que son más grandes que solo su puesto en una empresa, lo que hace crecer el ecosistema de confianza. ## Defina lo que más importa. Parte de cualquier relación de confianza es saber lo que es importante. No todo en una organización tiene que ser tan seguro como la bóveda de un banco. Adoptar un enfoque de seguridad que sirva para todos los casos nunca ha sido económico ni útil, ni siquiera antes de que la COVID-19 cambiara nuestro entorno de trabajo. En cada organización, los diferentes tipos de datos tienen distintos grados de importancia para la seguridad. Ya se trate de información financiera o de registros de atención médica, los líderes necesitan tener una visión clara de qué datos, si se ven comprometidos, perjudicarían a su organización. Es necesario identificar e integrar los controles de seguridad adecuados para estas joyas de la corona en los flujos de trabajo con líneas de responsabilidad claras, de modo que los datos estén protegidos tanto por la tecnología como por las personas que los rodean. Al diferenciar lo que es fundamental de lo que no, los líderes pueden maximizar con éxito la rentabilidad de sus inversiones en seguridad, evitando problemas que podrían dañar irrevocablemente la confianza en sus organizaciones. ## Respeta las distracciones. La confianza es una calle de doble sentido. Los profesionales de la seguridad saben que el comportamiento de los usuarios finales sigue siendo uno de los mayores riesgos para la seguridad, pero también creo que, con el enfoque correcto, los usuarios finales pueden ser los principales defensores de la seguridad. Educar a los usuarios sobre las amenazas a la seguridad y las mejores prácticas a menudo se considera algo «bueno tener» que se olvida cuando surge una crisis. Sin embargo, esto es exactamente cuando más se necesita la educación en seguridad. Las distracciones sociales han sido durante mucho tiempo la principal amenaza, y la tasa de éxito de los ataques es mayor cuando la atención de todos se desvía hacia otra parte. El hecho es que,[los trabajadores están más distraídos que nunca](https://cisomag.eccouncil.org/distracted-employees/) en esta pandemia, con muchos empleados trabajando desde oficinas domésticas improvisadas, rodeados de familias y mascotas, tal vez en entornos multiusos, como cocinas y dormitorios. Sin embargo, estas mismas personas todavía quieren tomar buenas decisiones y se puede confiar en que lo harán si cuentan con el apoyo adecuado. Desarrollar y comunicar políticas claras sobre los dispositivos de confianza y compartir periódicamente información sobre el cambiante entorno de amenazas ayudarán a establecer y reforzar una cultura de seguridad sólida, incluso en un entorno cambiante. Loading...Las organizaciones que aún no tienen programas educativos sólidos no necesitan abordar esto por sí solas. Pueden recurrir a los líderes en este espacio para que los apoyen de manera que se integren de forma orgánica en la cultura del aprendizaje dentro de la organización. ¿Por qué importa eso a la hora de proteger el trabajo remoto? Porque crea un entorno de trabajo lleno de personas capacitadas que se sienten comprometidas con el éxito de la empresa, que es una postura de seguridad basada en la confianza que el dinero no puede comprar.