La seguridad ya no es un ingrediente secreto que se añade al guiso justo antes de servirlo. Al contrario: la seguridad se ha convertido en un trabajo de todos, algo común de muchas personas, como quien prepara todos los ingredientes antes de agregarlos al guiso.
Su gestión se ha convertido en una preocupación estratégica de cualquier tipo de empresa. Y el camino a seguir es que la empresa construya una cultura de seguridad, con una conciencia clara de los riesgos y una serie de mecanismos, controles, normas y prácticas que se alineen con la seguridad de la empresa.
Mark Schwartz, estratega empresarial en Amazon Web Services, fue anteriormente CIO del Servicio de Ciudadanía e Inmigración de EE.UU. (USCIS, parte del Departamento de Seguridad Nacional).
Como tal, era la persona que tenía que decidir si cada sistema era lo suficientemente seguro para ser utilizado en una agencia tan crítica y sensible como esa. Una labor que canalizó a través de autorizaciones operativas, consensuadas con su CISO, tratando de equilibrar los requisitos de seguridad con la flexibilidad necesaria para cada agencia en cada momento.
Sin embargo, reconoce Schwartz, este enfoque transmitía “la idea engañosa de que la seguridad se opone al cumplimiento de la misión y que se deben hacer concesiones”. Nada más alejado de la realidad, en su opinión: la seguridad es un aspecto esencial del logro de la misión (o el negocio) y rara vez hay tantas compensaciones involucradas como la gente puede creer.
Además, esa misma filosofía de trabajo estaba muy orientada al cumplimiento normativo, a cubrir una serie de casillas en un formulario. El verdadero talento de los profesionales de ciberseguridad no podía salir a relucir entre tanta burocracia y ellos mismos no podían ver la conexión directa entre su trabajo y la protección de los sistemas digitales del país.
Con algunas variaciones, este tipo de aproximación a la seguridad es bastante común en las empresas. Y por supuesto que es relevante en lo que atañe al cumplimiento normativo y las listas de verificación. El libro de Atul Gawande The Checklist Manifesto: How to Get Things Right muestra que las listas de verificación han mejorado sustancialmente los resultados en el cuidado de la salud y otros campos y también son aplicables a la seguridad de la información. El problema no está ahí sino en lo que sucede a continuación del hecho, para aplicar esas listas.
Mark Schwartz recuerda de sus tiempos en USCIS algunas lecciones clave para mejorar la ciberseguridad en estos entornos:
- Comunicación constante de la seguridad entre la seguridad y los objetivos de la empresa.
- Establecer prácticas para incorporar la seguridad en el seno de la organización y mecanismos rápidos de feedback para corregir errores.
- Establecer normas de seguridad e higiene y establecer altos estándares de calidad.
- Adoptar un enfoque de cero defectos conocidos.
- Examinar continuamente la seguridad, tanto en el desarrollo como en la producción de cualquier aplicación.
Es importante resaltar que estos cinco mecanismos no implican un gasto sustancial ni requieren mucho tiempo una vez que se establecen.
En realidad, no se trata de hacer concesiones entre la seguridad y la entrega del producto, sino encajar ambas premisas en una misma visión holística.