Creando una cultura de ciberseguridad descentralizada, segura y escalable

La importancia de crear una conciencia en ciberseguridad se ha convertido en un pilar fundamental, que nos brinda la  oportunidad de reflexionar sobre la importancia de adoptar una cultura de seguridad moderna, descentralizada y arraigada en valores organizacionales.

De niño, recuerdo que en casa de mi abuela materna sólo había un medio de comunicación: un teléfono analógico. Probablemente algunos de los lectores no se imaginan de lo qué estoy hablando, pero se trataba de un aparato con un disco que había que girar para poder hacer llamadas. En aquella época, la seguridad del uso del teléfono estaba centralizada y gestionada exclusivamente por mi abuela, mediante un candado manejado directamente por ella.

Mucho ha cambiado desde entonces, hemos visto la aparición de nuevas tecnologías disruptivas y una democratización tecnológica sin precedentes. Hoy es habitual que en una casa haya más dispositivos conectados a Internet que personas. Esto plantea retos para la ciberseguridad y la necesidad latente de crear una cultura de seguridad moderna, descentralizada y fuerte dentro de las empresas.

En este escenario, así como todos los empleados tienen la responsabilidad de brindar un buen servicio y una buena experiencia al cliente, ¿no deberían también preocuparse y asumir el rol y la responsabilidad de la ciberseguridad?.

Caso de la vida real: La ciberseguridad es un tema cultural

La transformación digital se tiende a relacionar con cuestiones tecnológicas, cuando los aspectos culturales son más importantes. Esto lo comprendí mejor en AWS, puesto que los líderes se involucran y promueven temas de seguridad. Un caso que lo ejemplifica fue la creación de un programa de embajadores de seguridad, quienes no dependen de la estructura de seguridad centralizada del CISO, pero sí tienen la responsabilidad de implementar buenas prácticas en los productos y servicios desarrollados por sus respectivos equipos.

Los Guardianes también son evaluados con base a indicadores de seguridad establecidos corporativamente para identificar si sus productos y servicios están adoptando las mejores prácticas de seguridad y son reconocidos cuando sus productos y servicios mitigan los riesgos de forma preventiva.

En este modelo de Guardianes, los equipos de servicio se convierten en los propietarios de la seguridad de su producto y servicio, mientras que el equipo de seguridad es responsable de la seguridad corporativa, con la misión de formar y capacitar a los guardianes. Se crea así una comunidad de ciberseguridad ampliada, que refuerza una cultura de seguridad organizativa distribuida y descentralizada, generando un impacto positivo en toda la corporación.

En este modelo de guardián vemos beneficios directos como la creación de productos y servicios más seguros, una optimización de los tiempos de entrega de nuevos productos y servicios digitales, evitando reprocesos para corregir vulnerabilidades al final del proceso de desarrollo. También permite la creación y seguimiento de indicadores corporativos de seguridad, como parte de los indicadores estratégicos de negocio, al igual que la adopción de un modelo de colaboración exponencial, creando una comunidad de seguridad extendida que permita la resolución acelerada de retos comunes de seguridad.

Vale señalar que la implantación de una cultura de seguridad fuerte y descentralizada no es un proyecto a corto, sino a medio y largo plazo, ya que se trata de integrar la ciberseguridad como un valor en la cultura de la organización. Esto requiere, un cambio en la forma de pensar, en las actitudes y creencias de los empleados de la empresa. Recuerde que los grandes cambios ocurren a partir de pequeños pasos y de la constancia e insistencia en la ejecución.