Una errónea percepción en el entorno empresarial es creer que la defensa hacia un ataque informático tiene respuesta solo desde el frente tecnológico, y que esto pasa por adquirir o contratar un servicio para proteger la información. Esta acción puede ayudar, pero en realidad no termina por resolver la raíz del problema. Bajo este panorama, ¿cuál es la mejor recomendación? Según Juan José Calderón, Gerente de Data Center, Seguridad y Outsourcing de Level 3, la estrategia a seguir se enfoca en que los funcionarios de una empresa empiecen por generar conciencia y educar a los usuarios y a sus socios en prácticas más seguras.
Es necesario entender que todos los miembros de una empresa deben tener conocimiento de la importancia de no caer en trampas cibernéticas. Asimismo, tener un comportamiento adecuado respecto al uso de las herramientas que brinda la compañía y de las que se usan en el ámbito personal. Por ello, un primer consejo válido es que el mismo usuario sea consciente de la acción que va a tomar y evaluar si es un comportamiento seguro para poder controlar una situación de riesgo cibernético. Por ejemplo, los correos donde se reciben invitaciones para actualizar datos personales, y que al final terminan por ser un engaño, son un claro episodio de robo de información que no solo involucra lo personal, sino que puede terminar por generar una importante pérdida de información para la empresa. Se trata de un comportamiento inseguro porque no da tiempo al análisis de la información, por actuar de manera confiada.
El siguiente paso es que las empresas identifiquen qué información es la más importante para ellas, generando a partir de allí una estrategia de protección, sabiendo que todos tenemos recursos limitados y que es necesario dar un enfoque correcto mediante una serie de lineamientos.
Además de especificar la información que se quiere salvaguardar, es necesario que la organización trabaje de cerca con socios especializados; pues cabe señalar que un escenario de amenaza virtual puede ser tan complejo, que una sola organización, sin importar su tamaño, no podrá resolver la situación con los recursos a disposición. Si se suscita un atentando contra la seguridad de la organización, es importante que el funcionario evalúe a las organizaciones en las que se va a apoyar, para asegurar que ante un incidente pueda tener el suficiente soporte para dar una respuesta efectiva en tiempo y forma.
Bajo este panorama, apoyarse en las capacidades de proveedores globales permite actuar rápidamente ante las amenazas que se registran previamente en otras regiones. Esto fue tangible en Level 3 ante la amenaza que presentó Wanna Cry, que empezó fuertemente en Europa, pero que permitió que cuando se iniciaron las operaciones en otras regiones, se contara no solo con medidas correctivas en curso, sino también con lineamientos de comportamiento seguro de los trabajadores de la compañía, y qué medidas tomar ante este tipo de amenazas.
Finalmente, es fundamental que la estrategia sea clara para prevenir efectivamente este tipo de problemas de seguridad. En la actualidad, somos testigos de un mundo donde la tecnología es cada vez más usada para el desarrollo de los negocios de las empresas en todas las industrias. Comprar infraestructura o contratar servicios sin tener claro qué es lo que se debe proteger y dónde está la información no es más una alternativa. En vez de poner énfasis en este tipo de iniciativas, el foco debe estar en definir una estrategia integral para la protección de la organización, y que esta sirva de guía para generar conciencia en los colaboradores, además de evaluar y seleccionar las medidas de seguridad que mejor apliquen a las necesidades de cada empresa.
