Por: Belkys Cabrera Rincón, Experto en Gestión de Seguridad y Ciberseguridad, Líder Auditor de Seguridad de la Información, Ciberseguridad y Continuidad de Negocios, Líder Implementador de Seguridad y Privacidad de la Información, ITQ latam
Aunque muy necesario un marco normativo en materia de ciberseguridad, es absurdo pensar que una ley va a resolver los temas de seguridad y ciberseguridad que hoy día están en las primeras noticias y tendencias. No obstante, es relevante destacar que este marco normativo abrirá un prisma de oportunidades para implementar metodologías, procesos, planes y la obligatoriedad sobre de aplicación de gestión de herramientas que determinen el resguardo de confidencialidad, integridad y disponibilidad de la información, así como el blindaje de la privacidad de los datos.
No se trata solo de aplicar un parche o tener un AV de última generación, sino de cómo se gestionan y retroalimentan estas tecnologías, cuáles son las respuestas ante las incidencias, el manejo y análisis de la causa raíz, las acciones correctivas.
En ese contexto, las lecciones aprendidas son los elementos resaltantes de este marco normativo que se basará en las mejores prácticas mundiales de gestión de la ciberseguridad y seguridad. Lo más importante a rescatar aquí es que la metodología de gestión, los planes de comunicación y concienciación hay que incorporarlos en el ADN de las instituciones para lograr sembrar la semilla de seguridad en cada persona, pues es la única manera para contrarrestar los eventos e incidentes que se gestan segundo a segundo.
Hoy día, somos millones buscando las mejores prácticas para abordar seguridad de la información y ciberseguridad, mientras son miles de millones los que nos evalúan con ingeniería social continuamente para explotar nuestras vulnerabilidades y así quedar expuestos antes las amenazas del entorno.
Ciertamente, las expectativas de una ley de ciberseguridad son altas; y muchas las técnicas y metodologías para lograr establecer modelos eficientes y eficaces para la gestión de seguridad y ciberseguridad. Pero, lo más sorprendente, es que éstos no pasan por procesos tecnológicos, sino por humanos.
Mientras la seguridad de la información no forme parte del plan director de la nación y no represente un objetivo estratégico del gobierno y sea el estandarte de este marco, la protección y resguardo de los elementos más importantes como son información, datos y procesos, la tendencia de los ataques y ciberdelincuencia nos llevará la delantera.
No es con un sistema de gestión y procesos de seguridad y ciberseguridad que vamos a eliminar los riesgos de ser atacados, violentados, o que nuestra información sea filtrada o seamos estafados; pero sí se puede lograr, con una gestión eficiente, seria y transversal, mitigar en su máxima expresión los riesgos actuales, mantener alertas y estudios constantes para mejorar continuamente y, en algún momento, tomar la delantera en esta carrera para controlar finalmente el crecimiento vertiginoso de este mal mundial que es la ciberdelincuencia.
Más allá de una ley, la respuesta a muchos males actuales es el grado de conciencia sobre lo que se puede y no se puede hacer con los datos e información, de acuerdo a su clasificación. Hoy, los ciberdelincuentes están siempre tratando de mirar nuestro lado débil: la contraseña que dejamos pegada en un post it, el correo que le dimos click sin saber de dónde viene, entregar datos a quien nos consulta sin prever para qué serán utilizados, entre muchos otros. Son temas básicos y sencillos que pasan por la conciencia de saber por qué hacerlo o no, más que por una herramienta tecnológica robusta. Por eso hay que enfocar los esfuerzos en concientizar al activo más importante en la seguridad de la información que es el Recurso Humano, no por sus características de autonomía y decisión, sino por ser el más vulnerable en toda esta cadena de procesos.
