Antes de la digitalización del lugar de trabajo, la seguridad era más sencilla. Las puertas estaban cerradas al final de la noche. El lugar de trabajo era seguro. Ahora, cada dispositivo es una puerta virtual a las operaciones de una empresa. Cada dispositivo es un portal para exponer vulnerabilidades de seguridad.
De la misma manera que se espera que los empleados cierren las puertas de la oficina con llave, la seguridad operativa es responsabilidad de todos. Para garantizar que esto se adopte en toda la organización, las empresas deben crear una cultura de seguridad que capacite a cada empleado para proteger la empresa y sus activos.
“Existe un deseo cada vez mayor de realizar una transformación digital y modernizar las formas de trabajo. Genial. Pero es necesario que se produzca un cambio de paradigma. Existe una dicotomía entre la necesidad de transformarse digitalmente y también estar seguro al hacerlo”, dice el líder principal de ciberseguridad de Red Hat, Robert Erenberg-Andersen. Aconseja a las empresas que den prioridad tanto a la transformación digital como a la incorporación de una cultura segura al mismo tiempo para garantizar que la transformación digital se lleve a cabo de forma segura y responsable.
En una mesa redonda reciente, los expertos compartieron sus opiniones y experiencias con la seguridad operativa. Descubrieron que a menudo la seguridad se considera el opuesto natural a la transformación digital. También ha sido tradicionalmente competencia exclusiva del CISO o CIO. Pero una sola persona o equipo no es suficiente para construir un negocio seguro. Las realidades del lugar de trabajo moderno también lo reflejan. Los trabajadores remotos, los trabajadores que no trabajan desde escritorio y la proliferación de dispositivos (desde impresoras hasta tabletas, teléfonos móviles y computadoras) implican que existen más riesgos de seguridad que nunca. Pero en lugar de ver eso como una vulnerabilidad, los líderes empresariales pueden considerar las formas en que un cambio cultural puede crear oportunidades.
Karl Hoods, director digital y de información del grupo del Departamento de Seguridad Energética y Net Zero, dice que crear una cultura de seguridad permitirá que una organización se transforme de manera más efectiva y creativa. Facilitará mayores oportunidades digitales porque le da al negocio una base sólida sobre la cual crecer. “La seguridad no se trata sólo de ofrecer un nuevo servicio o conjunto de servicios de forma discreta y aislada”, afirma. “Tiene que ir en conjunto con la transformación digital para que sea vista como un facilitador, en lugar de un guardián”.
Ser un facilitador es un objetivo común para aquellos responsables de diseñar operaciones seguras. Eric Liebowitz, director de seguridad de la información de Thales, dice que el “modo habilitador” es la forma en que los equipos de seguridad de operaciones pueden “centrarse en cómo habilitar el negocio rápidamente”. Y añade: “No tiene por qué ser una transformación digital. Podría ser un proyecto específico que necesitamos para ayudar a la gente a navegar”. Y añade: “podría ser un proyecto específico que necesitemos para ayudar a la gente a navegar”.
Construir esa cultura requiere que los empleados estén capacitados para priorizar la seguridad y ser responsables de ella. Los empleados deben comprender las formas en que pueden incorporar seguridad en cualquier cosa que estén haciendo. Pero también tienen que aceptar las razones que hay detrás de ello. Los líderes deben comunicar el valor de una cultura segura para garantizar que las personas no sientan que la seguridad es una tarea ardua, sino una herramienta para mejorar la resiliencia empresarial.
Desde una perspectiva operativa, lograr que los empleados estén alineados con los objetivos organizacionales y empoderados para actuar de manera segura es la clave para crear una cultura segura desde cero. Pero las empresas también deben ver un nivel de colaboración entre los líderes para garantizar que se dé prioridad a esta mejora continua a medida que se implementan nuevas tecnologías y cambian las estrategias.
Esto no sólo es valioso desde una perspectiva cultural, sino que también garantiza que el riesgo sea responsabilidad de la persona adecuada. Si un riesgo de seguridad es responsabilidad de alguien que no tiene el presupuesto para hacer frente a las ramificaciones del impacto, dice Erenberg-Andersen, no es la persona adecuada para hacerse cargo de ese riesgo. Aconseja a los líderes que asuman la responsabilidad de los riesgos operativos, priorizando así la seguridad como una cuestión de toma de decisiones críticas para el negocio. Si ocurre un ataque, dice, los líderes deben rendir cuentas. “Cuando tienes esa responsabilidad, también tienes el interés de hacerlo de la manera correcta”.
Parte de lograr que los líderes empresariales apoyen este cambio es que los CISO y los tecnólogos presenten la seguridad en términos que los directores ejecutivos y los miembros de la junta directiva comprendan. Un negocio seguro también elimina el riesgo financiero y operativo. Eso es algo que les importa a los líderes.
Pero otro desafío clave para lograr la aceptación del liderazgo es que las juntas directivas vean la ciberseguridad y la seguridad operativa como una transformación o un costo único. “Lo ven como una actividad discreta”, dice Liebowitz. “La seguridad no es sólo una cuestión de tecnología/equipo cibernético” porque los ataques pueden afectar operaciones comerciales críticas, alterando cosas que están muy fuera del ámbito de competencia del equipo tecnológico. Ese efecto dominó hace que el negocio de la seguridad sea fundamental para todos los equipos.
Richard Jones, responsable de seguridad informática y ciberseguridad en Leidos, coincide: “Todos quieren que el negocio siga funcionando. Existe un objetivo compartido de resiliencia. Si todos comprenden que su trabajo es mantener la resiliencia de su negocio, entonces todos pueden empezar a desempeñar un papel en la defensa desde una perspectiva cibernética, reaccionando desde una perspectiva cibernética y luego haciendo previsiones”.
El primer paso es lograr que los líderes y empleados comprendan la naturaleza crítica de la seguridad para la resiliencia empresarial. Entonces, las empresas deben comprometerse con la mejora continua. La seguridad no es sólo algo en lo que se puede invertir, implementar y luego olvidar. Debe estar continuamente presente en todas las operaciones comerciales y ser capaz de adaptarse a las necesidades cambiantes.
Tulsi Narayan, vicepresidente senior de cibernética e inteligencia de Mastercard Europa, aconseja “vigilancia constante” y monitoreo continuo aprovechando la tecnología en lugar de monitoreo, mejora y capacitación periódicos para ayudar a los empleados a considerar la seguridad como parte de su trabajo diario. “No se puede digitalizar rápidamente. Incorporar la seguridad en la cultura de una organización solo se logra cuando se permite que las personas comprendan la necesidad de seguridad, interactúen con los resultados del monitoreo continuo y reaccionen de manera efectiva en función de los resultados”, afirma.
Sanjit Shewale, director global de la línea de negocios digitales de ABB Process Industries, lo compara con la transformación digital. A lo largo de la digitalización de los negocios durante las últimas dos décadas, las empresas se han dado cuenta de que la transformación digital no se puede lograr con un solo proyecto o inversión. Requiere una adaptación constante. La seguridad requiere lo mismo. “No es un programa de inicio y fin, es continuo”, afirma Shewale, y aconseja a los líderes que actúen en colaboración e incorporen educación sobre seguridad para que los empleados sean conscientes de los riesgos que pueden ayudar a mitigar. “Realmente creo que la colaboración desde el nivel de liderazgo hacia abajo permea toda la organización. Darle prioridad es algo que ya no puedes darte el lujo de no hacer”.
Si la seguridad no se ve como algo que impide la innovación y el cambio, sino que los facilita de forma segura, puede ayudar a las empresas a resolver problemas. Pueden digitalizarse y evolucionar mientras construyen una cultura más fuerte y cohesiva. “Los tecnólogos necesitan comprender la esencia de cómo operan las empresas y cómo obtienen dinero y ganancias. Pero la empresa necesita comprender cómo la tecnología lo permite porque están inextricablemente ¿Cómo pueden las empresas crear una cultura de seguridad? entrelazados ahora; no se pueden separar”, dice Erenberg-Andersen.
A veces, los líderes ven la transformación digital como lo diametralmente opuesto a la seguridad operativa. Pero, con el compromiso de empoderar a los empleados y construir una cultura de seguridad en la que la mejora continua resulte en resiliencia empresarial, las empresas pueden aprovechar todas las oportunidades y libertades que ofrece la digitalización con riesgos limitados.
Cada dispositivo que utiliza una empresa es un punto de riesgo potencial. Pero, al igual que ocurre con el cierre de la puerta de la oficina, si cada empleado tiene la capacidad de protegerse a sí mismo y a los activos de la empresa, una cultura de seguridad creará una empresa más fuerte y segura.
¿Cómo pueden las empresas crear una cultura de seguridad?
En una mesa redonda reciente, líderes en tecnología, ciberseguridad y TI analizaron el valor de incorporar seguridad en una organización. Afirmaron la importancia de la seguridad operativa para proteger una empresa y sus activos.
Para mayor información por favor visite sombrero rojo