” El aumento del conocimiento depende por completo de la existencia del desacuerdo”
Karl Popper
Diariamente podemos leer noticias que alguna organismo o empresa ha sido vulnerada y sus datos han sido expuestos o subastados, que otra ha sufrido un ransomware y se encuentra con sus operaciones detenidas, que en algún otro punto del planeta se lanzó un ataque de denegación de servicios y así podríamos enumerar muchos otros casos más.
No hace falta buscar en medios especializados de Ciberseguridad o difusión científica, estas noticias son publicadas a diario en los medios de comunicación masiva y redes sociales, o sea, disponibles para todo el público, resaltados como titulares en muchas de sus homepages.
Por otro lado, todos los entes gubernamentales y supranacionales, así cómo organismos públicos y privados de investigación y cooperación, coinciden en que la ciberseguridad es un tema que no puede obviarse en ninguna organización, que los riesgos asociados a esta irán incrementándose año a año por el aumento de la ciberdelicuencia, las ciberguerras, el ciberactivismo o la competencia desleal entre empresas.
¿Por qué, entonces, es qué seguimos escuchando que los equipos de ciberseguridad son los stoppers, los que ponen palos en la rueda?
¿Es realmente una deficiencia de marketing de las áreas de seguridad?
Para empezar marketing, como vimos al comienzo, no falta, así que podríamos descartar esta opción. Adicionalmente, los equipos se mantienen actualizados para poder hacer frente a las nuevas amenazas y la tecnología, si nos abstraemos de los presupuestos, podemos decir que no debería ser la razón para que se detenga ningún proyecto. Finalmente, todo aquel que sea parte de un equipo de ciberseguridad convive con el riesgo, su trabajo es reducirlo o mitagarlo, ya que es imposible impedirlo de forma completa.
Tampoco podemos obviar que, también, escucharíamos comentarios similares por parte de las áreas de Ciberseguridad hacia los usuarios e interlocutores de las áreas de IT con las que estas se relacionan.
Entonces la pregunta que sigue es… ¿Dónde estaría el problema?
El problema está en la falta de reconocimiento mutuo, de no considerar el valor que cada parte le aporta al todo.
La solución a esto sigue siendo el factor humano y sus liderazgos. Creando ambientes de colaboración donde todos puedan ofrecer su saber sin temor a ser estigmatizados, donde los errores sean entendidos como parte del aprendizaje y sabiendo que aquello que es aportado será considerado y no cuestionados.
Las metodologías ágiles permiten realizar esto cuando conformamos los distintos equipos, sumando las capacidades necesarias para poder desarrollar y evolucionar un producto.
Todos los integrantes aportan su saber, creando código, pensando la infraestructura, evaluando la experiencia de usuario y, también, definiendo la seguridad necesaria para proteger el ecosistema y los datos.
Ninguno, en esta construcción, pesa más que nadie, tampoco se buscan culpables, sino que se entienden las situaciones que se presentan retrospectivamente para corregir, evitar repetir y mejorar el funcionamiento del equipo.
En los miembros de estos equipos, el asumir riesgos, también, tiene que ser un aspecto importante, lo cual no se debe la renuncia a tener procesos o en relajamiento desmedido de la seguridad.
Para tomar un riesgo es necesario, en primer lugar, identificarlo y cuantificarlo para optar por las diferentes alternativas que permitirán mitigarlo de manera ágil, efectiva y eficiente.
El valor que aportan las áreas de seguridad es dar continuidad y sustentabilidad a las organizaciones, habilitando a realizar más y mejores soluciones.
Así como hay prácticas y metodologías de desarrollo, también las hay para la ciberseguridad, que no deben ser contrapuestas, sino, por el contrario, complementarse y potenciarse unas a otras.
Al final del día todos los equipos están allí para permitir a las organizaciones plasmar sus visiones, cumpliendo sus objetivos y aportando a la generación de valor.
