La importancia de hablar el mismo lenguaje en ciberseguridad

4min

La ciberseguridad es uno de los temas más importantes, por su trascendencia, dentro de las empresas. En un entorno cada vez más digital, y debido a la constante evolución y refinamiento de las ciberamenazas, es imprescindible formar un frente común para evitar males mayores.

Ese frente común es, a veces, muy complicado de conseguir. Básicamente, existe una barrera invisible que a veces impide entenderse correctamente entre departamentos, hasta el punto de percibir los riesgos de manera distinta.

Tanto es así que, en el Estudio de Riesgos Globales 2020 de PwC, casi el 50% de los encuestados cree que sus departamentos de riesgo, auditoría interna, cumplimiento y ciberseguridad se ven obstaculizados por no saber formular una visión común de las amenazas. ¿Cómo superar este obstáculo?

Índice

Crear un lenguaje universal del riesgo que sea transversal a la empresa

La tarea no puede ser más gigantesca. En una empresa, la cantidad de departamentos y de lenguajes (y percepciones) diferentes que nos podemos encontrar es enorme, aun hablando de pymes. No es lo mismo cómo se enfrenta a un riesgo de ciberseguridad el personal de IT, que el de administración o la directiva. Existen una serie de prácticas que ayudan a conseguir este ambicioso objetivo:

  1. Definir una nomenclatura única. Este es el paso básico para que todo el personal pueda valorar y entender correctamente los riesgos. Aquí se incluye desde la detección, pasando por la supervisión y todas las fases posibles involucradas en la seguridad. Se necesita un vocabulario común para poder transmitir los mismos conceptos y niveles de riesgo. Esto simplifica la elaboración de informes, la toma de decisiones y también las comparativas con datos históricos.
  2. Crear un sistema de calificación de riesgos comprensible y universal. No nos podemos quedar en definiciones generalistas y tan simples como riesgo bajo, medio o alto, por ejemplo, sino que se deben incluir referencias comprensibles a cualquier nivel, por todas las personas de la organización. Como es lógico, esto depende fuertemente del tipo de organización.
  3. La respuesta al riesgo debe ser coherente en toda la empresa. Al disponer de un marco de actuación bien definido será sencillo seguir el proceso de gestión de riesgos. ¿Qué debemos incluir? Métricas concretas y acciones que realizar ante cada nivel de riesgo, principalmente. Y siempre tan detallado como sea necesario, pero sin ambigüedades.
  4. Abrir el acceso a la información sobre gestión de riesgos a todo el personal. No tendría mucho sentido elaborar toda esta nomenclatura, un marco de aplicación y todo lo demás si el acceso a la información es deficiente, o si no puede acceder a él todo el mundo. Por tanto, no sólo debemos dar acceso, sino que este tiene que ser rápido y sencillo.
  5. Implicar a toda la organización. Sin duda, esta es la parte más delicada del proceso. Y también es la más importante, ya que todo el organigrama de la empresa debe estar implicada al mismo nivel a la hora de aceptar y poner en práctica lo que hemos estado desarrollando. Y es todavía más importante que los puestos directivos lo acepten. No es para menos, ya que estos tienen un peso específico tan decisivo que, en pocas palabras, si no hablan el mismo lenguaje en términos de ciberseguridad, pueden influir en una toma de decisiones incorrecta.

Establecer definiciones estándar y herramientas de traducción en una plataforma de gestión de riesgos sería la mejor solución y la más sencilla de implementar. Pero, de todos modos, hay que destacar la importancia que tiene conseguir un lenguaje común en toda la organización para la gestión de los riesgos.

La apreciación subjetiva de un riesgo puede llevar a quien tiene que tomar una decisión a infravalorarlo, o a sobrevalorarlo. En ambos casos estamos lejos de la gestión óptima y vamos a tener una de dos situaciones: o bien sufrimos un ciberataque, o una fuga de datos o cualquier otro tipo de amenaza que conlleva pérdidas económicas (como mínimo); o bien estaremos empleando recursos excesivos para gestionar un riesgo que, después de todo, era menor.

Para mantener seguros los datos y tener un plan de recuperación listo para deshacer los efectos de un ciberataque, en Arsys te ofrecemos una solución de Cloud Backup a la medida de tus necesidades. Entra en nuestra web e infórmate acerca de los detalles.

Sergio Arias

Productos relacionados: