En tiempos recientes, hemos estado viviendo consecuencias en torno al Covid-19, tanto la economía formal como informal vivirá los estragos que nos dejará la pandemia, particularmente en el caso de las empresas tendrán que enfrentarse a problemas y riesgos adicionales, es decir, no solo se tendrán que enfrentar a los cambios en los precios del petróleo, a la fragilidad de la economía, al cambio en el precio de algunos insumos, entre otras problemáticas, también se enfrentarán a los riesgos cibernéticos.
Algunas empresas se han visto en la necesidad de tener a su equipo de trabajo desde casa, los que son afortunados con ésta iniciativa pueden creer que simplemente todos ganan, ahorramos gasolina, contaminamos menos y desde luego tenemos menos probabilidad de contagio, pero la realidad es que aquí aplica el dicho “a río revuelto, ganancia de pescadores”, pues no todas las empresas cuentan con Sistemas de Gestión de Seguridad de la Información (SGSI) y están expuestos a la ciberdelincuencia.
Un SGSI permite conocer riesgos que atenten contra la seguridad de la información y datos de las organizaciones, con la finalidad de poder gestionarlos.
Seguro es así como un ciberdelincuente aprovecha todo tipo de situaciones, donde la clave para accionar un ataque hacia su presa es una estrategia, jugar con sus temores más obvios y evidentes, que son el mantenerse seguro y también a su familia, el ciberdelincuente como si quitara un dulce a un niño, puede atacar y dejar un problema adicional aprovechando la situación del Covid-19.
Un ciberdelincuente, normalmente envía información apócrifa e invita a dar clic en anuncios para otorgar beneficios como vacunas gratis y pide ingresar información, una persona confiada y angustiada, puede ser engañada y proporcionar datos, lo cual altera la seguridad de la compañía. Una persona confiada en un delincuente pero con poca confianza en el personal de seguridad para reportar el caso, es la mezcla perfecta para lograr vulnerar la seguridad de su empresa.
Con el creciente uso de la tecnología, es indispensable implementar SGSI, ya que buscan la protección justamente de la información y de los sistemas, definitivamente en cualquier momento se está expuesto a riesgos que ponen en peligro a la empresa, especialmente en todos los datos que gestionan, para hacer realidad el SGSI se requiere hacerlo por medio de un proyecto, que contemple al menos: planear, implementar, monitorear y mantener, puede ocupar cualquier tipo de metodología para tratar el proyecto, pero se recomienda que sea por medio de un marco híbrido, es decir tomar las mejores prácticas de la industria, es decir, una mezcla de metodología en Cascada, Scrum, u otra, no será fácil la implementación, así que será mejor que tome lo que mejor convenga de cada una, lo que haga mayor sentido y no encasillarse en una sola herramienta.
Entre los problemas más comunes para implementar un proyecto y mantener un SGSI, es que las personas adopten y entiendan lo que esto conlleva, éste es un aspecto que se debe tomar en cuenta que para el éxito, es decir, generar estrategias con el personal para impulsar el cambio, puede ir acompañada de una gestión correcta y un acercamiento hacia las personas, para evitar que en situaciones como lo que conlleva Covid-19 causen más estragos de los esperados, precisamente es por esto que se recomienda un marco híbrido en la gestión del proyecto, para llevar al cambio a las personas, puede ocupar Lean Change Management, Management 3.0, entre otras.
Así entonces, es indispensable que en las empresas estén conscientes de que si no tienen un proceso adecuado de selección de personal entonces tendrán que invertir el tiempo suficiente y tener paciencia con los empleados que tienen, pues no solo debe poner foco en aspectos técnicos, también es importante la actitud, el trabajo en equipo, responsabilidad, entrega de resultados, puntualidad, honestidad, sinceridad, empatía, con actitud de servicio, y sobre todo amabilidad.
Pero, ¿por qué?, pues bien, la persona con estudios técnicos, no necesariamente aplica la lógica para resolver problemas interpersonales, y es que las personas son siempre las que hacen posible la aplicación de mejoras en cualquier aspecto y en cualquier lugar, en éste punto, se tiene que generar una estrategia que permita alertar tanto al equipo técnico de seguridad y otra con el resto del personal, entonces la estrategia es hacer que la gente ayude a conocer, gestionar y minimizar los riesgos.
Personal especialista en seguridad:
Problema común: las empresas cuentan con personal técnico con mayor perfil en entender el funcionamiento de los aspectos de seguridad para aplicarlos en los sistemas, pero con un menor perfil humanístico, intentan implementar controles de seguridad pero no siempre es de la forma esperada. Puede ser una persona amable, pero no tenga habilidades de organización, que prometa y no cumpla, que asista a reuniones con excusas para presentar resultados o simplemente con el soporte que le da ser de un área tan importante, busque escudarse y no dar respuestas requeridas por sus clientes internos y externos.
Un consejo para mitigar: una campaña de sensibilización hacia el personal de seguridad podría funcionar muy bien, las personas a veces cambian su forma de ser muy lento, pero podrían adaptar su estilo de comunicación más rápido, dependiendo del foro al que están expuestos, le llevará tiempo el cambio, si la persona realmente está consciente y dispuesta podría acelerar los resultados, pero si es una persona a la que le cuesta trabajo podría llevarle al mínimo dos años, por ello es tan importante el reclutamiento y selección de personal.
Personal en general:
Problema común: la estrategia es requerida, ya que los delincuentes actúan aprovechándose de las fallas más comunes de sus presas, un ejemplo puede ser enviar un correo malicioso que llame la atención, lo suficiente para qu sea irresistible dar clic a un enlace, ejemplo Covid-19 donde ciberdelincuente logre obtener información, o lograr colarse para infectar de virus un equipo violando los controles de seguridad y conseguir acceder a información de uno o varios usuarios. Cuando la gente tiene un problema y cae en las redes de ciberdelincuencia, solo en el caso de que logre darse cuenta de haber caído en una trampa, no tiene confianza en el personal de seguridad para contarle lo sucedido, lo que provoca que la empresa no pueda activar protocolo para resolver problema.
Un consejo para mitigar el problema: generar cápsulas informativas, materiales de capacitación sencillos, talleres para entender el funcionamiento de la ciberdelincuencia, también es importante generar una cultura que sin llegar a la exageración, tenga en mente que en cualquier aspecto siempre podría haber un ataque, se debe estar cerca de las personas y generar foros para resolver dudas.
Lo más importante es que primero esté consiente si su empresa requiere implementar una estrategia de Sistemas de Gestión de Seguridad de la Información, nunca es tarde para comenzar y si ya tiene su estrategia implementada, nunca es tarde para promover un ciclo de mejora continua, donde constantemente revise si tiene que mejorar o implementar aspectos adicionales para no quedarse rezagado.
Para cerrar, recuerde que siempre el factor humano es relevante, mientras más preparados estén todos, podrá lograr la permanencia de su empresa en el mercado, hemos tenido otras pandemias, quizás vemos que la peste hoy día ya no es una amenaza, pero luego de muchos padecimientos que ha tenido la humanidad pasando por la influenza y ahora el Covid-19, es sencillo suponer que luego vendrá otro problema que resolver y puede ser prácticamente de cualquier tipo, la pregunta es si su empresa estará preparada para enfrentar el futuro incierto.
Sofía Olivia Reynoso de la Parra.
Licenciada en Matemáticas Aplicadas y Computación de la Universidad Nacional Autónoma de México; Maestra en Ciencias en Administración de Negocios del Instituto Politécnico Nacional; Portfolio Coach Manager