Creando una cultura de ciberseguridad descentralizada, segura y escalable
Por: Marcelo Zillo líder de Seguridad de AWS para América Latina
La importancia de crear una conciencia en ciberseguridad se ha convertido en un pilar fundamental, que nos brinda la oportunidad de reflexionar sobre la importancia de adoptar una cultura de seguridad moderna, descentralizada y arraigada en valores organizacionales.
De niño, recuerdo que en casa de mi abuela materna sólo había un medio de comunicación: un teléfono analógico. Probablemente algunos de los lectores no se imaginan de lo qué estoy hablando, pero se trataba de un aparato con un disco que había que girar para poder hacer llamadas. En aquella época, la seguridad del uso del teléfono estaba centralizada y gestionada exclusivamente por mi abuela.
Mucho ha cambiado desde entonces, hemos visto la aparición de nuevas tecnologías disruptivas y una democratización tecnológica sin precedentes. Hoy es habitual que en una casa haya más dispositivos conectados a Internet que personas. Esto plantea retos para la ciberseguridad y la necesidad latente de crear una cultura de seguridad moderna, descentralizada y fuerte dentro de las empresas.
En este escenario, así como todos los empleados tienen la responsabilidad de brindar un buen servicio y una buena experiencia al cliente, ¿no deberían también preocuparse y asumir el rol y la responsabilidad de la ciberseguridad?.
Liderar la ciberseguridad con el ejemplo
La transformación digital se tiende a relacionar con cuestiones tecnológicas, cuando los aspectos culturales son más importantes. Esto lo comprendí mejor en AWS, donde la ciberseguridad se trata como una prioridad estratégica y el ejemplo procede del liderazgo. Buscamos que no solo los CISO de nuestros clientes esten involucrados en las decisiones de seguridad sino también los CEO, pues el c-level en este punto cumple un rol fundamental para que la seguridad forme parte del ADN de las empresas, dando el peso y el valor respectivos.
La descentralización de la ciberseguridad a escala
Otro caso interesante que he presenciado, es la creación de un programa de embajadores de seguridad. “Los Guardianes”, como se les llama, no dependen de la estructura de seguridad centralizada del CISO, pero tienen la responsabilidad de implantar buenas prácticas de seguridad en los productos y servicios desarrollados por sus respectivos equipos. Estos son evaluados en función de indicadores de seguridad establecidos por la empresa para identificar si se están adoptando las mejores prácticas de seguridad y son reconocidos cuando se mitigan los riesgos de forma preventiva.
En este modelo de “Guardianes”, los equipos de servicio se convierten en los propietarios de la seguridad de su producto y servicio, mientras que el equipo de seguridad es responsable de la seguridad corporativa, con la misión de formar y capacitar a los guardianes. Se crea así una comunidad de ciberseguridad ampliada, que refuerza una cultura de seguridad organizativa distribuida y descentralizada, generando un impacto positivo en toda la corporación.
Con este modelo, vemos beneficios directos como la creación de productos y servicios más seguros con una clara optimización de los tiempos, evitando reprocesos para corregir vulnerabilidades al final del proceso de desarrollo. También permite la creación y seguimiento de indicadores corporativos de seguridad, como parte de los indicadores estratégicos de negocio, al igual que la adopción de un modelo de colaboración exponencial, creando una comunidad de seguridad extendida que permita la resolución acelerada de retos comunes de seguridad.
Vale señalar que la implantación de una cultura de seguridad fuerte y descentralizada no es un proyecto a corto, sino a mediano y largo plazo, ya que se trata de integrar la ciberseguridad como un valor en la cultura de la organización. Esto requiere, un cambio en la forma de pensar, en las actitudes y creencias de los empleados de la empresa. Recuerden que los grandes cambios ocurren a partir de pequeños pasos y de la constancia e insistencia en la ejecución.