Así como usted no va a comprar repuestos para su carro sin antes haber ido donde el mecánico para cerciorarse de qué problema o desperfecto tiene su vehículo, y tampoco va a pagar exámenes médicos o comprar medicamentos sin un diagnóstico o prescripción médica realizado por un especialista, de la misma forma los tomadores de decisión empresariales deben cuidar cómo hacen las inversiones en soluciones tecnológicas de ciberseguridad.
Sin embargo, la realidad y las estadísticas nos muestran que las empresas adquieren soluciones tecnológicas de ciberseguridad sin mucha planificación, lo cual puede estar incubando futuros problemas en lugar de soluciones.
La práctica del ajedrez nos ilustra magistralmente que siempre debemos tener una estrategia para avanzar y mejor aún, procurar ganarle al oponente. Para construir una estrategia de protección es necesario empezar con una evaluación por parte de verdaderos especialistas en la materia que verifiquen los puntos débiles como organización y entonces, después de una serie de diagnósticos, identifique así los riesgos y de acuerdo al negocio (porque cada empresa es única: su industria, su tamaño, alcance, necesidades, presupuesto, modelo de negocios, impacto, clientes, proveedores, etc.) se establezca un plan de acción con todos los puntos de mejora. Además, por supuesto, que defina las posibles inversiones requeridas en materia de soluciones tecnológicas que van a dotar de ciberprotección a la organización, pero esto debe ser parte del plan y no al revés.
Esta recomendación no es para nada antojadiza, sino más bien sabiduría desde la experiencia y fundamentada en los mejores estándares y marcos de referencia de la industria, porque siempre nos encontramos empresas con una inversión significativa en equipos y plataformas, pero que no tienen un plan, una estrategia o personal capacitado que lo desarrolle. De esta forma, todo lo anterior queda como soluciones aisladas sin integración lógica, cayendo en la subutilización de los equipos y recursos causando así huecos en la seguridad y dejando en riesgo la organización ante muchas amenazas, aun habiendo invertido.
Recordemos que la ciberseguridad es un proceso de mejora continua, lograr una madurez empresarial debe ser nuestra meta, la cual toma años. Los grandes ciberataques no son ejecutados de la noche a la mañana, también requieren de mucha planeación, múltiples actores, mucha creatividad y persistencia, ya que en la mayoría de los casos les lleva meses o años lograr su objetivo.
Así como no vamos a observar una orquesta sinfónica sin su director y una presentación musical de alta calidad sin que previamente se haya convocado los mejores músicos, se haya preparado el libro de partituras y se hayan hecho muchos ensayos, sin dejar de mencionar las muchísimas horas de práctica por cada músico individualmente; así también la estrategia de ciberseguridad requiere de una evaluación, seguir la hoja de ruta, desarrollo del plan, muchas horas y por supuesto la figura o el equipo que van a liderar la ejecución y seguimiento en su organización, el cual representa el cerebro y esquema orquestador, que es en definitivo imprescindible para lograr el objetivo.
Por todo esto, recomendamos seguir esta regla de oro, la cual provocará una transformación a nivel organizacional y lo conducirá por el camino de lograr una cibercultura en toda la empresa junto con sus colaboradores, además de permitirles alcanzar el gran objetivo de proteger su infraestructura y datos, y gradualmente ir adquiriendo una madurez en el universo de la ciberseguridad, de una forma integral y holística.
Fórmula para implementar la ciberseguridad en su empresa: | |
---|---|
Evaluación + Diagnósticos = | Lista de Riesgos y Puntos de Mejora |
Proceso de análisis | |
---|---|
Hoja de Ruta + Priorización de lista de riesgos y puntos de mejora = | Plan a seguir |