Te toca dar el paso

👻 La Newsletter de @weareDMNTRs 👻

Somos "especialitos". Todos los del gremio.

Y claro, cuando la cosa va de "colaboración" a veces no somos fáciles de llevar. Es más, a veces es que somos muy difíciles. Mucho.

Gestionar la ciberseguridad de una organización en colaboración con un departamento de IT, Administración de Sistemas o llámalo X es, muchas veces, más complicado de lo que debería ser. La realidad es que ambos equipos deberían estar perfectamente alineados y tener objetivos comunes, pero esto no siempre ocurre. De hecho, creo que es difícil que ocurra. Y cuando eso pasa, las tensiones se multiplican y las vulnerabilidades comienzan a aparecer.

Ya lo hemos hablado por aquí, los departamentos dentro de las organizaciones tienen a crear “reinos de taifas” en los que cada responsable quiere tener control absoluto sobre su parcela. Eso incluye bloquear cualquier intento del otro de involucrarse, ayudar o incluso aconsejar algo bajo jurisdicción. Y, claro, ya me contarás cómo coordinas la ciberseguridad de una empresa cuando los encargados de ejecutar gran parte de esa estrategia no están por la labor.

La falta de colaboración fragmenta los esfuerzos y, al final, convierte la ciberseguridad en una serie de compartimentos estancos, en lugar de algo integral y transversal. Porque estoy harto de decirlo, la ciberseguridad no puede ser una “parte del sistema”; tiene que ser transversal, impregnando cada rincón de la organización. Desde el diseño de redes hasta las decisiones de negocio, pasando por las políticas de usuarios y las configuraciones del día a día.

Al final, la seguridad es tan fuerte como su eslabón más débil. Y si alguien dentro de la empresa no está comprometido con esa cultura, las “cositas” pueden empezar a suceder. Y pasan. Y a veces pasan a lo grande. Con espectáculos pirotécnicos brutales.

¿Y cuál es la solución para esto? A ver si tuviera la receta mágica, me dedicaría a ser consultor de consultores de ciberseguridad. Metaconsultor podríamos llamarlo. Pero como no lo soy (¿o sí? 😂😂😂), os dejo las ideas principales que resuenan en mi cabeza cuando hablo de estas cosas.

En primer lugar, una de las claves es dar al responsable de ciberseguridad la autoridad necesaria para tomar decisiones, especialmente en los temas más complejos. No se trata de imponer por imponer, sino de garantizar que las decisiones críticas no queden atrapadas en la burocracia o, peor aún, en compromisos que terminen dejando brechas abiertas. El CISO debe tener una libertad de movimientos bastante grande y, a mi juicio, reportar únicamente al CEO.

Por otro lado, y aquí entra algo fundamental, la figura del responsable de ciberseguridad debe ser la de alguien con un marcado carisma dentro de la organización. ¡Lo siento, compañeros autistas, pero nos toca salir de la cueva! Porque no es lo mismo que eso de las buenas prácticas te lo diga alguien en quien confías o de quien tienes una buena imagen, a que te lo diga el imbécil que ni dice buenos días... ¡Aun diciendo lo mismo, la cosa es muy muy diferente!

La colaboración entre IT y ciberseguridad debe basarse en la comunicación abierta, los objetivos compartidos y el intento de tener una visión común: proteger los activos más valiosos de la empresa. Y esto requiere un liderazgo capaz de priorizar lo importante frente a lo urgente, entendiendo que la seguridad no es un lujo, sino una necesidad estratégica. Si la seguridad va dentro de nuestro ADN no tendremos que luego parchearlo todo para tapar agujeros que nosotros mismos hemos creado.

De hecho, por ejemplo, tenemos el clásico ejemplo de las soluciones “provisionales”. Esas en las que, por desconocimiento, comodidad o presión, se opta por hacer algo rápido, pensando que ya se solucionará más adelante. Pero como tú y yo sabemos, ese “luego” nunca llega, y los problemas se quedan ahí listos para entrar a matar cuando menos te lo esperas. Si esa solución se toma con una visión más amplia, seguramente la cosa puede ser muy diferente.

Por último, la ciberseguridad es un esfuerzo colectivo. No hay margen para egos ni para reinos separados. Las organizaciones deben regirse solo por una cultura transversal y un compromiso real de todos los niveles de la misma. Y te digo que cuando eso se da, se nota. Y mucho.

Cuando llego a un lugar en el que hay un esfuerzo real de todos por ser una empresa cibersegura, el ambiente es diferente. Encontrar ese nivel de compromiso no es fácil, pero, repito, compañeros antisociales, nos toca dar el paso. De nosotros depende.

Porque, al final, lo que está en juego es más que un sistema o una red, es mucho más. Es lo que más importa.

¡ Feliz Domingo !