Resguardar la infraestructura tecnológica de la empresa implica un constante desafío. Tú como oficial de seguridad bien lo sabes, el estrés que manejas a diario es muy alto debido a diversos factores, que derivan desde la falta de horario fijo, de tecnologías que permitan acelerar el proceso de trabajo y la tensión constante a la que te debes enfrentar al saber que puedes ser víctima de un ciberataque en cualquier momento.
Está claro que la ciberseguridad te apasiona y quieres tener siempre el mejor desempeño en la empresa en la que estás trabajando. Pero más allá de tus capacidades, muchas veces tus esfuerzos no son suficientes para cumplir con todos los requerimientos que implica tener una infraestructura TI segura.
Esta situación se debe a que muchas compañías no le han prestado la atención necesaria al área de ciberseguridad. La concientización sobre la importancia de la seguridad de la información comúnmente es baja, a pesar de lo digitalizada que está la sociedad, las personas mayoritariamente creen que este es un tema sobre hacker y deep web.
Tú debes conocer esta situación perfectamente y muchas veces te molesta la simplificación que hacen sobre el trabajo de la ciberseguridad. Pero las implicancias de esta realidad no quedan solo en la molestia que genera, sino que también está vinculada a la inversión que se realiza, la que comúnmente es baja y no da todas las posibilidades para poder realizar un buen trabajo.
La baja inversión en ciberseguridad muchas veces se debe a que tu cliente interno no entiende bien para qué sirve la plataforma, software, herramienta, etc. que requieres y se niega a entregar el presupuesto.
Para poder evitar esta situación es que es importante tener una comunicación fluida dentro de los demás departamentos de la empresa, sobre todo con quienes toman las decisiones presupuestarias.
Conseguir una buena comunicación te permite tener más claridad de qué es lo más importante para la empresa y poder priorizar tu trabajo, lo que a la larga lo hace más afectivo. Esta situación está directamente relacionada con la importancia que tiene darle un contexto a la infraestructura TI de la empresa.
Contextualizar te permite reconocer cuáles son los servicios tecnológicos más críticos, que son indispensables para la empresa, como también conocer bien quiénes se ven afectados si estos fallan.
Este proceso te da la posibilidad de priorizar y clasificar tu trabajo en relación a la información que recogiste y calcular el riesgo tecnológico de tu infraestructura TI. Si quieres saber más sobre este tema puedes leer “Complejidades al calcular el riesgo en Ciberseguridad”.
Preparar el terreno
Para poder contextualizar la infraestructura tecnológica de tu empresa, lo primero que debes hacer es tener un reconocimiento total de ella, conocer cada rincón, máquina, software, servicio, etc.
Sin distinguir rubro de la empresa, la mayoría de ellas tiene una infraestructura TI reconocida parcialmente, con un porcentaje indeterminado de desconocimiento. Lo que hace que exista una enorme incertidumbre por esa parte de la infraestructura a la que no se tiene acceso.
Es muy importante tener un reconocimiento total, conocer cada rincón de la infraestructura de la empresa, porque esto te permite poder clasificar y darle un contexto a lo que está contenido en ella. Para poder cumplir con este objetivo puedes realizar un discovery de infraestructura, el que te entregará detalladamente la información de ésta.
Dentro de tu trabajo, además de tener la infraestructura TI reconocida totalmente, debes tener una visibilidad total de las vulnerabilidades que tiene ésta. Para ello tienes que usar un Scan de vulnerabilidades, el que te entregará toda la información, la que casi siempre es de gran volumen.
Conversación crucial
Cuando los problemas en relación a la tecnología y a la ciberseguridad puedan estar un poco más claros y reconocidos, debes salirte un poco de la norma de tu trabajo tecnológico.
Para poder darle un contexto a tu infraestructura TI es que tienes que desligarte en parte de la estructura que tienes en relación a tu trabajo e introducirte a un espacio más relacionado al lenguaje y a la comunicación.
Aquí es cuando debes reunirte con tu cliente interno y preguntar cuáles son los servicios tecnológicos más importantes para él. Está más que claro que quienes tienen poco o nulo conocimiento sobre ciberseguridad no te hablarán con definiciones técnicas, ni te dirán qué máquina es relevante para ellos.
Es por esto que tú también debes tener una conversación mucho más pragmática y concisa, con un lenguaje mucho más simple y menos técnico. En esta reunión te encontrarás de frente con la vulnerabilidad de tu cliente, no con las vulnerabilidades tecnológicas, sino con las que tiene que ver con la funcionalidad de la empresa.
Un buen ejemplo de esto sería una empresa en la que gran parte de sus clientes llegan a través de la página web, para ellos ese es el servicio tecnológico más relevante. Pero para poder llegar a esta información tienes que saber comunicarte de forma simple y llevar una conversación fluida con tu cliente interno.
Contexto para priorizar
En el momento en que ya tienes la información sobre qué es lo más relevante para tu cliente interno, es que debes comenzar a tomar acción y a gestionar lo que significa lo que ahora conoces.
Este es uno de los elementos que componen la fórmula para calcular el riesgo tecnológico de tu infraestructura y es por eso que es tan relevante. Contextualizar la infraestructura TI es la parte subjetiva de la ponderación.
En resumidas cuentas, cuando quieres calcular el riesgo tienes que ponderar el impacto y la probabilidad, el primero de ellos es el que hemos estado explicando en este artículo, con un componente totalmente subjetivo y referido a cómo afecta a la empresa que cierto hecho suceda en un servicio tecnológico específico.
Mientras que la probabilidad tiene un componente objetivo y se refiere a todo lo que podría afectar al funcionamiento de un servicio tecnológico determinado. Cuando se ponderan estos dos factores, se toma como resultado el riesgo tecnológico de la infraestructura TI.
Resumen
Para quienes integran la empresa y no están relacionados con la ciberseguridad, entender cuál es la importancia de ella es muy complejo, como también entender la implicancia que tiene para su propio trabajo.
Cuando el oficial de seguridad o CISO se aleja del lenguaje técnico sobre ciberseguridad y entabla una conversación más simple, se puede acercar a los demás departamentos y entender cuáles son los servicios tecnológicos más importantes para ellos.
Esta conversación es la que permite que el CISO pueda darle un contexto a la infraestructura TI de la empresa. Lo que es uno de los elementos que le permiten calcular el riesgo tecnológico de la misma.
Este lenguaje simple y claro es el que recoge Camel Secure en su plataforma, la que entrega la información sobre el riesgo tecnológico de cada uno de los que define como servicio de negocios.