6 minute read
LA CIBERSEGURIDAD, DE LA MODA A LA ESTRATEGIA
El boom de la ciberseguridad se ha dado de una forma desorganizada en varios ámbitos tecnológicos, desde empresas con la necesidad de adquirir soluciones que les apoyen a mejorar la postura en aspectos de seguridad de la información o ciberseguridad, pero sin una estrategia real que apoye las necesidades del negocio o la gestión de un control para minimizar uno o varios riesgos. Quizá no todo es moda al hablar de ciberseguridad, primero porque para la adquisición de las tecnologías -ayuden o no – el oficial de seguridad de la información (CISO por sus siglas en inglés) deberá de crear la necesidad, luego que la Alta Gerencia apruebe el proyecto y el presupuesto real, luego ya la implementación de dichas tecnologías y con ello esperar que nuestros riesgos se minimicen.
Lastimosamente, no siempre es así, ya que, para que la alta dirección sea consciente de los riesgos tecnológicos deben de conocer muy bien del negocio y el impacto que traería una caída masiva de servicios, la materialización de ataques que dejen inoperativos los sistemas públicos o internos o el pago del secuestro de la información luego de una explotación de vulnerabilidades en las plataformas tecnológicas.
Advertisement
Si la fase anterior es solventada, ahora el CISO deberá de implementar la tecnología, con o sin capacidades técnicas, tácticas y operativas y realizar las configuraciones que el negocio necesita, pero unas necesidades reales y de mejora continua para su correcto funcionamiento, claro está, que estas deben de responder a lo establecido en la política de seguridad de la información y sus procesos o procedimientos -los cuales deben de estar actualizados por los cambios o mejoras a las infraestructuras tecnológicas-, pero recordemos que no todo es tecnología, de hecho el aspecto de seguridad de la información o ciberseguridad debe de verse como un tema estratégico que aporte una nueva capa a los procesos del negocio y que aseguren la continuidad del negocio luego de las mejoras realizadas.
Actualmente existen de varias metodologías que pueden apoyar a los CISOs a mejorar su postura en temas de seguridad de la información y ciberseguridad, como la norma ISO 27001:2022, NIST, COBIT 2019, Controles CIS, entre otros que aportan bases sólidas para su adopción, pero la pregunta es ¿estamos conscientes del nivel de madurez que se debe de tener para adoptar o poner en práctica estas recomendaciones? Porque necesitamos tener visibilidad sobre toda la infraestructura tecnológica, conocer los riesgos que nos pueden afectar, el apetito del riesgo, los activos tecnológicos, etc. La limitante de estas metodologías es que nos dicen que hacer, pero no cómo lo tenemos que hacer, y resulta lógico, ya que cada empresa es distinta, cada banco es distinto, cada entidad también es distinta aunque el giro del negocio sea el mismo.
La adopción de las metodologías por si solas no dan visibilidad sobre el estado actual de una empresa es por ello por lo que adicional a determinar si cuentan o no cuentan con un control, es conocer su nivel de madurez con una escala de Likert y el avance en los controles que se desean y no solo una respuesta binaria (si/no) sino más bien establecer un estado inicial. administrado, definido, administrado cuantitativamente, hasta optimizado, con esto será mas sencillo determinar el nivel de gestión de los controles dentro de las empresas.
Mientras más visibilidad tengamos de las operaciones que la empresa realiza tanto tecnológicas como no tecnológicas podremos establecer métricas enfocadas en la Capa 1 (las personas, los procesos, las tecnologías y el tratamiento de la información), es decir, si aplicamos una metodología como NIST para (Capa 2) identificar, gobernar, controlar, comunicar y responder ante un ciberataque, debemos de tomar las capas o superficie de ataque de los servicios en (capa 3) la nube o internet, perímetro, red interna y punto final. Ya luego de esto realizar una matriz tridimensional que base su análisis en las capas anteriormente descritas haciendo de la seguridad de la información y ciberseguridad un proceso que aporte ciber cultura e inteligencia y lograr una mejora continua en los aspectos estratégicos de la empresa, como se puede ver en la siguiente imagen sobre la Evaluación Continua del Riesgo Informático.
Pero también existe la contraparte al hablar de ciberseguridad y es que los actores de amenazas utilizan más y mejores procedimientos, técnicas y tácticas para atacar a empresas y se aprovechan de la falta de madurez, de tecnología, apoyo de la alta gerencia hasta de la ignorancia para la adopción de tecnologías o su correcta configuración, con respecto a este tema, la falta de control o de configuración hacen que sistemas estén expuestos y puedan ser vulnerados por ciberdelincuentes afectando la operatividad de las empresas. Se habla además de forma despectiva del usuario final al momento de ocurrir un evento de seguridad, obviando la responsabilidad compartida que se tiene desde la gerencia general por no aprobar un presupuesto, del CISO por no realizar configuraciones de acuerdo a las necesidades de la empresa, la falta de actualizaciones a las políticas de seguridad, sus procesos o procedimientos, la desactualización de los sistemas tecnológicos tanto en la nube o locales hasta la concientización de los usuarios finales que utilizan a diario las tecnologías y por último la falta de conciencia situacional de las empresas para conocer el impacto financiero, legal, de imagen entre otros que un ciberataque puede ocasionar.
Para finalizar y no ser tan extenso en dar un punto de vista distinto a la ciberseguridad, lo mejor es actuar, pero actuar de forma responsable en el conocimiento de la visión, misión y objetivos de la empresa, ya que si solo pensamos que la tecnología por si sola brindará protección completa lo más seguro es que no logremos nuestros objetivos, por lo tanto, para pensar en la estrategia se deben de crear grupos multidisciplinarios que aporten ideas para mejorar los controles, su adopción y ejecución de acuerdo al plan anual de seguridad de la información. Por ejemplo, crear un plan para el desarrollo en seguridad de la información y ciberseguridad para el fortalecimiento de las estructuras y reforzar las capacidades tecnológicas dentro de la empresa, además de un plan de respuesta ante las emergencias que se podría activar al estar bajo algún riesgo, generar un plan para la producción de boletines para la concientización en temas de seguridad de la información y ciberseguridad entre otros.
Tendencia En Los Retos De Los Departamentos De Recursos Humanos
La gestión del talento: la identificación, contratación y retención de talentos es un reto constante para los departamentos de recursos humanos. La competencia por los mejores candidatos es cada vez más intensa, lo que significa que los departamentos de recursos humanos deben ser más innovadores y estratégicos en sus procesos de contratación.
El bienestar de los colaboradores: la pandemia de COVID-19 ha puesto de relieve la importancia del bienestar de los colaboradores. Los departamentos de recursos humanos están cada vez más enfocados en el apoyo hacia la salud mental y física de sus colaboradores, así como en la creación de culturas laborales inclusivas.
La tecnología: la adopción de nuevas tecnologías es un reto constante para los departamentos de recursos humanos, que deben mantenerse al día con las tendencias y adaptar sus procesos a las nuevas herramientas disponibles. La inteligencia artificial, el aprendizaje automático y otras tecnologías emergentes están transformando la forma en que se gestionan los recursos humanos.
La diversidad, la equidad y la inclusión: cada vez más empresas están adoptando políticas y prácticas de diversidad, equidad e inclusión (DEI) para fomentar la igualdad y la justicia en el lugar de trabajo. Los departamentos de recursos humanos están liderando estos esfuerzos y trabajando para garantizar que sus empresas sean inclusivas y diversas en todos los niveles.
La formación y el desarrollo de habilidades: en un mercado laboral cada vez más competitivo, el desarrollo de habilidades es fundamental para mantener a los colaboradores comprometidos y productivos. Los departamentos de recursos humanos están cada vez más enfocados en la formación y el desarrollo de habilidades, así como en la identificación de oportunidades de crecimiento profesional para sus colaboradores.
Oracle HCM (Human Capital Management) es un sistema de gestión de recursos humanos que ayuda a los departamentos de recursos humanos a abordar algunos de los retos actuales en este campo.
Gestión del talento: Oracle HCM proporciona herramientas para la identificación y contratación de talentos, así como para la gestión del rendimiento y el desarrollo de habilidades de los colaboradores. Además, su módulo de análisis de talento puede ayudar a los departamentos de recursos humanos a identificar oportunidades de crecimiento para los colaboradores y a gestionar la sucesión.
Bienestar de los colaboradores: Oracle HCM proporciona herramientas para el seguimiento de la salud y el bienestar de los colaboradores, incluyendo el seguimiento de la salud mental y el apoyo a la seguridad en el lugar de trabajo. También ofrece herramientas para la gestión del tiempo y la programación de los colaboradores, lo que puede ayudar a equilibrar su trabajo y su vida personal.
Tecnología: Oracle HCM utiliza una tecnología avanzada, como la inteligencia artificial y el aprendizaje automático, para mejorar la eficiencia de los procesos de recursos humanos y para proporcionar análisis y predicciones avanzados. Además, su integración con otras herramientas de Oracle, como Oracle ERP, puede ayudar a las empresas a crear procesos de recursos humanos más eficientes y coherentes.
Diversidad, equidad e inclusión: Oracle HCM ofrece herramientas para la gestión de la diversidad y la inclusión, como el seguimiento de la igualdad de oportunidades y la monitorización de los datos de la plantilla. También proporciona herramientas para la formación y el desarrollo de habilidades, lo que puede ayudar a las empresas a crear una cultura de diversidad e inclusión.
Formación y desarrollo de habilidades: Oracle HCM proporciona herramientas para la formación y el desarrollo de habilidades, incluyendo la gestión del rendimiento y el seguimiento del progreso de los colaboradores en sus objetivos de desarrollo. También ofrece herramientas para la gestión de la carrera y la sucesión, lo que puede ayudar a los colaboradores a planificar su crecimiento profesional a largo plazo.
