La Ciberseguridad como parte esencial de nuestra cultura
El mundo contemporáneo ha traído consigo la digitalización de procesos, el auge del teletrabajo y la preponderancia por navegar en un universo virtual. Todo esto, hace que la necesidad de establecer medidas de supervisión y protección de la información en la web haya aumentado, pues, se corre más riesgo de un ataque a causa de cibercriminales.
Este mes, estamos enfocados en la importancia de la ciberseguridad, la cual, procura proteger sistemas, redes y programas de amenazas digitales, además, de promover las prácticas honestas, es decir, interactuar de forma “ciber-inteligente”.
Efraín Polanco, Regional Information Security Officer (RISO), experto en ciberseguridad en Baxter América Latina nos cuenta acerca de esta práctica dentro del sector farmacéutico:
Primeramente, habla sobre los riesgos y amenazas para el sector, en donde enfatiza que, para determinar estos, se debe comprender primero ¿qué se está protegiendo? y, sobre todo, el mercado en el que están inmersos dichos datos, “por ejemplo, en las empresas del sector salud, el valor de la información de los pacientes y el riesgo que se asume al perder esa información es muy alto. La información de salud no la puedes cambiar o bloquear como cuando pierdes una tarjeta de crédito/débito. Los riesgos asociados a fraudes del sistema de salud, la necesidad de tener siempre disponible la información para ofrecer al paciente el tratamiento apropiado, la propia naturaleza de los datos confidenciales y el hecho de que muchas entidades de salud usen plataformas que no están actualizadas y no tengan un programa de ciberseguridad proactivo, permite que se generen altos riesgos en el sector, generando su vulnerabilidad”.
Es por lo que, las perspectivas de las empresas de este sector deben estar cimentadas en una preparación e instalación de un programa de ciberseguridad estructurado y proactivo que como afirma Efraín, les permita manejar a tiempo los riesgos de su sector. Es aquí donde, concretamente, se debe tener una sinergia con IT, Manejo de Proyectos, Arquitectura Empresarial, Privacidad, Legal y el equipo de Seguridad, para que se pueda tanto identificar los riesgos que conllevan los nuevos proyectos como para darles solución de una manera oportuna, si se presentan.
Hablando específicamente de Baxter, es importante resaltar que históricamente hemos implementado buenas prácticas y proyectos (aunque esto es un tema más de cultura y procesos) para optimizar la ciberseguridad: “lo primero que se hizo fue alinear nuestras políticas y estándares con las mejores prácticas a nivel mundial, hemos simplificado los entrenamientos para impactar en la cultura organizacional, también se ha trabajado con los diferentes líderes para que ellos entiendan que hoy, la ciberseguridad es parte integral del ambiente de negocios”.
Y, ahora bien, estas iniciativas deben estar articuladas y ser coherentes con las que se plantean dentro del mismo sector, creando un ambiente colaborativo. Esto lo logramos compartiendo las dinámicas de ciberseguridad dentro de la industria, a través de foros, efectuando monitoreo en términos de legislación, y claramente, analizando riesgos conjuntamente entre el gobierno (entidad pública) y la empresa privada, realizando un seguimiento pertinente, para al final crear acciones de mejora que propicien un cierre de brechas.
Al final, Efraín nos deja ciertas recomendaciones que otras compañías pueden tener en cuenta para convertir la ciberseguridad en un pilar de la cultura organizacional, reconociendo que hay diferentes estándares a nivel mundial que les apoyarán con la implementación de controles para reducir las problemáticas que enfrenten:
- Definir un programa que reduzca los riesgos es la parte esencial de un programa de ciberseguridad, el primer paso es alinear el programa con los objetivos de negocios, de tal forma que soporten y permitan lograr estos objetivos lo más pronto posible.
- Implementar un programa de cambio de cultura y colaboración en temas de ciberseguridad liderado por el CEO y su staff, que permita a la empresa incluir rápidamente los requisitos de seguridad en los diferentes proyectos.
- Efectuar el análisis y monitoreo de riesgos, y darle seguimiento a esta parte del programa para minimizar el impacto de esos riesgos en la organización, incluir el análisis de proveedores y terceros para confirmar que tengan un programa solido de ciberseguridad.
- Usar los estándares o marcos de ciberseguridad como NIST, ISO27001, COBIT, etc. para mejorar los procesos de IT, y, entender que la ciberseguridad es un proceso que debe ser mejorada cada día.
Y finalmente, es relevante recalcar que la ciberseguridad es responsabilidad de todos, y en Baxter, cada uno debe velar por un desarrollo óptimo de la empresa, para así, ¡Salvar y Sostener Vidas de forma segura, transparente y veraz!