redseguridad 079

red seguridad cuarto trimestre 2017 43 amenazas opinión Sin el nivel adecuado de concienciación, la cultura adecuada y los procedimientos apropiados para reforzar esa cultura, ningún nivel de inversión tendrá éxito la eficacia de su programa. Imagine a un empleado de su organización caminando por el pasillo y él o ella ve a alguien haciendo algo en su equipo que podría ser erróneo o incorrecto. Hágase tres preguntas sobre ese empleado. ˘ ¿Sabrá si la actividad era correc- ta o incorrecta? ˘ ¿Informará de ello? ˘ Si descolgara el teléfono, ese empleado ¿sabría a quién llamar? Si las respuestas son "sí", "sí" y "sí", su programa es efectivo. Si hay un "no", su programa fallará. Si la persona no sabe qué consti- tuye una mala práctica, no lo reco- nocerá y no tomará ninguna acción, simplemente no reaccionará. Este es el núcleo, la clave de la conciencia- ción de seguridad de la información. Si él o ella decide que no lo denunciará, aún a sabiendas de que está mal, el programa fracasa- rá. Puede que este empleado haya escuchado que alguien comunicó un problema o informó de un inci- dente en su día y ahora ese indivi- duo está marginado y condenado al ostracismo. Tal vez hablaron con su responsable, quien dijo: "Sí, esto es un problema, pero la otra persona Fuente/cargo comúnmente más utilizado en los ataques BEC. Perfil mayoritario al que van dirigidos los ataques BEC. no es de nuestra área, así que no debemos involucrarnos". Esta es una prueba de la cultura de la orga- nización. Si el empleado descuelga el teléfo- no, pero la persona del centro de asis- tencia no sabe qué hacer, entonces el programa ha fallado. Esto prueba los procedimientos de la organización. Observe que estos resultados son independientes de la tecnología que la organización implementa. La tec- nología importa. La inversión es una condición necesaria, pero no suficien- te para una protección exitosa. Sin el nivel adecuado de concienciación, la cultura adecuada y los proce- dimientos apropiados para reforzar esa cultura, ningún nivel de inversión tendrá éxito. Lo que queda claro de todo esto es que el objetivo permanente de cual- quier CISO debe ser gestionar conti- nuamente el riesgo empresarial. Pero para poder llevar a buen puerto este cometido y tomar las decisiones correctas para la empresa es funda- mental contar con el apoyo de todos los empleados, que se fomente la creación de una cultura de seguridad en toda la organización y que ésta abarque a toda la compañía, desde la sala de juntas a la de servidores, pasando por las salas de descanso.