Por Joe McKendrick, colaborador de Forbes Insights
Para que las empresas pequeñas y medianas puedan avanzar hacia la economía digital necesitan tres cosas: visión por parte de los líderes de negocios, tecnología segura y confianza en esa tecnología. Para las compañías que buscan establecer una presencia digital, el mundo en línea puede ser un lugar aterrador, con ciclos de noticias constantes sobre ataques cibernéticos a importantes sistemas corporativos. Evolucionar en una empresa digital requiere tener la certeza absoluta de que las soluciones tecnológicas y la información que las compañías utilizan para operar sus negocios sean puntuales, confiables y seguras. Para garantizar ese nivel de confianza, es importante incorporar seguridad en todos los procesos, aplicaciones y ambientes de datos. Toda empresa pequeña y mediana necesita construir una cultura de seguridad.
Una nueva encuesta a 100 líderes empresariales, conducida en diciembre de 2014 por Forbes Insights en sociedad con Microsoft*, confirma que la seguridad de la TI es una cuestión primordial para muchos y que se está logrando una mejor protección de los activos digitales dentro de las compañías en crecimiento. Sin embargo, una cantidad importante de empresas pequeñas y medianas aún no adoptan muchas de las prácticas y protocolos necesarios para proteger sus ambientes de TI.
La encuesta identificó claramente las áreas prioritarias que las empresas pequeñas y medianas deben considerar al iniciar el proceso de convertirse en una empresa digital. La confianza se identificó como la base de este cambio y depende de contar con sistemas sumamente seguros. Se debe desarrollar una cultura de seguridad conforme la empresa migre hacia el mundo en línea. A continuación se muestran algunas maneras en las que se puede construir con éxito una cultura de seguridad en la era digital:
Capacitar y crear conciencia
La seguridad de la TI es responsabilidad de todos dentro de la compañía, no sólo del administrador de TI ni de un departamento en particular. Los empleados y los gerentes necesitan entender los procedimientos y políticas de seguridad de TI de la empresa, así como recibir actualizaciones periódicas sobre cómo manejar las amenazas de TI como virus, fraudes y otras estafas por correo electrónico. La capacitación periódica en el manejo de los datos, los inicios de sesión y el uso de dispositivos personales en la empresa también es beneficiosa. Tres de cada cinco ejecutivos afirman que aún no cuentan con una política corporativa formal de seguridad en línea. Dichas políticas son indispensables para preparar el terreno y apoyar los esfuerzos de seguridad activos. (Véase Tabla 1). La mayoría de las empresas están difundiendo ampliamente las políticas de seguridad en Internet —el 77% intentará mantener informados a todos o a la mayoría de los empleados sobre las nuevas políticas—. Esos lineamientos pueden guiar a los empleados en el uso de sus propios dispositivos móviles, así como asesorar en el manejo adecuado de los datos corporativos confidenciales.
Además de comunicar las políticas, la capacitación de los empleados es vital para construir una cultura de seguridad. Los empleados deben familiarizarse con los procesos —y las regulaciones— para manejar los datos confidenciales, abrir los mensajes de correo electrónico y evitar estafas y fraudes. Este tipo de capacitación se lleva a cabo en la mayoría de las compañías, pero más de una tercera parte reconoce que actualmente no ofrece capacitación a sus empleados. (Véase Tabla 2).
En gran medida, las empresas encuestadas no suelen ser muy diligentes cuando se trata de brindar capacitación en seguridad a sus fuerzas laborales. La estrategia más popular, utilizada en el 55% de las empresas encuestadas, consiste en enviar correos electrónicos a toda la compañía con detalles sobre las actualizaciones o con consejos de seguridad. Cerca del 41% admite que sólo proporciona una guía informal a sus empleados, con la expectativa de que estos aprendan los procedimientos correctos por sí mismos.
Más de la mitad del grupo encuestado invierte actualmente en capacitación, con el 52% que afirma que se involucran de manera más activa cuando sus equipos de TI ofrecen capacitación o asesoría interna. Otro 23% invertirá en programas de capacitación ya sea en línea o in situ. (Véase Tabla 3). La mayoría de los ejecutivos indican que hacen un esfuerzo por entender por sí mismos el fraude en línea, las medidas que deben tomar para protegerse contra éste y lo que pueden hacer en caso de caer víctimas.
Confíe, pero verifique
Muchas de las violaciones de datos actuales se originan desde dentro de las empresas, y por lo general son el resultado de simples errores humanos. Ninguna estrategia de seguridad de TI está completa si no se conduce una revisión y análisis para evitar errores sencillos. Asimismo, se debe asegurar que los proveedores externos, tales como los de servicios de consultoría y nube, cuenten con procedimientos y políticas de seguridad sólidos.
Busque prevenir, en lugar de reparar
El viejo dicho “más vale prevenir que lamentar” aplica bien para la seguridad de TI. Sin embargo, la encuesta muestra que muchas empresas se están quedando atrás en su capacidad de mantenerse al día con las mejoras tecnológicas. (Véase Tabla 5). Además, muchas empresas carecen de las soluciones y los protocolos más recientes que pueden garantizar que la infraestructura de TI esté bien protegida. (Véase Tabla 6).
Las estrategias preventivas consisten en cifrar los datos, regular rigurosamente su replicación y elaborar contraseñas fuertes que se cambien de manera periódica. Mantenerse al día con versiones, actualizaciones y parches también es una estrategia preventiva eficaz. Contar con las versiones más actualizadas es indispensable para tener un ambiente de seguridad de TI robusto.
La seguridad es uno de varios factores a considerarse cuando se realizan actualizaciones de tecnología. La mayoría de los ejecutivos en empresas pequeñas y medianas afirman que llevan a cabo las actualizaciones cuando resulta evidente que sus capacidades actuales comienzan a rezagarse. (Véase Tabla 7). Cerca de una tercera parte, el 29%, comenta que aplica las actualizaciones cuando se presentan problemas con el soporte del producto, lo que sugiere que muchos posponen el cambio a una nueva tecnología hasta que se ven obligados a hacerlo debido al fin de soporte para el producto. Un buen ejemplo de esto es el próximo fin de soporte para Windows Server 2003, que se acerca rápidamente el 15 de julio de 2015.
Comparta los conocimientos y aprenda de otros
Casi uno de cada cinco ejecutivos reconoce abiertamente que está al tanto de las violaciones de seguridad que han afectado a su empresa en los últimos dos años, pero sólo uno de cuatro confía en que se puede evitar otra violación. (Véase Tablas 8 y 9). La participación en grupos de usuarios, asociaciones profesionales, grupos de negocio o comunidades en línea brinda oportunidades de aprender mejores prácticas para aumentar el nivel de confianza.
Una cultura de seguridad bien diseñada siempre debe incorporarse en los planes de una empresa que busca incursionar en la economía digital. Las transacciones necesitan ser confiables, los clientes necesitan tener la certeza de que sus datos se encuentran en manos seguras, y las operaciones corporativas necesitan llevarse a cabo sin interrupciones. La economía digital está cimentada en la confianza, y los ejecutivos en empresas pequeñas y medianas pueden asumir un papel de liderazgo para garantizar esa confianza.
| TABLA 1 | |
| ¿Cuenta con una política corporativa formal de seguridad en línea? | |
| Sí | 39% |
| Lo estamos considerando/analizando | 34% |
| No | 23% |
| No sé/No estoy seguro | 4% |
| TABLA 2 | |
| ¿Capacita a sus empleados en cómo trabajar de manera más segura en el Internet? | |
| Sí, lo hacemos actualmente | 66% |
| No, pero estamos pensando en hacerlo | 26% |
| No, no hemos pensando en eso | 8% |
| TABLA 3 | |
| ¿Cómo imparte la capacitación en seguridad? | |
| Correos electrónicos periódicos con información sobre actualizaciones y consejos de seguridad | 55% |
| Capacitación/guías internas por nuestro equipo de TI | 52% |
| Ofrecemos guías informales, pero generalmente los empleados deben investigar por sí mismos | |
| Seminarios en línea | 41% |
| Programas integrales de capacitación in situ | 23% |
| Capacitación ad hoc en caso de violaciones | 14% |
| Seminarios fuera de la oficina | 6% |
| Programas integrales de capacitación fuera de la oficina | 2% |
| TABLA 4 | |
| ¿Cómo se instruye sobre el fraude en línea? | |
| Dependemos de nuestro equipo de TI y de otros expertos dentro de la compañía para entender las tendencias actuales | 51% |
| Actualizamos nuestros lineamientos y prácticas de negocio | 48% |
| Trabajamos con expertos para entender las tendencias actuales | 36% |
| Trabajamos con expertos para fortalecer las tecnologías con las que ya contamos | 36% |
| Dependemos de nuestro equipo de TI y de otros expertos dentro de la compañía para fortalecer las tecnologías con las que ya contamos | 32% |
| Trabajamos con expertos para implementar tecnologías nuevas para prevenir los fraudes | 28% |
| Contratamos talento nuevo con experiencia en esta área | 8% |
| Otro | 1% |
| TABLA 5 | |
| ¿Con qué frecuencia su compañía realiza actualizaciones importantes o reemplaza su tecnología central? | |
| Por lo menos una o más veces al mes | 12% |
| Cada dos años | 24% |
| Cada tres años | 24% |
| Cada 4 a 5 años | 23% |
| Cada 6 a 10 años | 10% |
| Más de 10 años entre cada actualización importante de tecnología | 4% |
| No sé/No estoy seguro | 3% |
| TABLA 6 | |
| ¿Aprovecha la tecnología más reciente para protegerse contra ataques maliciosos o prevenir las violaciones de datos? | |
| Sí, lo hacemos actualmente | 63% |
| Quizá, estamos considerándolo | 33% |
| No, no hemos pensando en eso | 4% |
| TABLA 7 | |
| ¿Qué factor llevó a su compañía a realizar su actualización tecnológica o reemplazo de tecnología más reciente? | |
| Rezagos en el desempeño o capacidades de la tecnología | 66% |
| Problemas de soporte del producto | 29% |
| Migración a una nueva plataforma/infraestructura tecnológica | 25% |
| Deseo de ser proactivos para prevenir violaciones de seguridad en el futuro | 25% |
| Nuestra política consiste en analizar periódicamente nuestros activos de TI | 22% |
| Cambios en la situación de nuestra empresa (expansión, adquisición, nueva línea de productos) | 15% |
| Requisitos del proveedor | 14% |
| Una violación de seguridad u otro problema relacionado con la privacidad nos alertó de la necesidad de actualizarnos reactivamente | 11% |
| Otro | 2% |
| TABLA 8 | |
| ¿Su compañía ha sufrido alguna violación de seguridad en línea en los últimos dos años? | |
| Sí, y estoy enterado del incidente | 12% |
| Sí, pero desconozco los detalles | 5% |
| No | 77% |
| No sé/No estoy seguro | 6% |
| TABLA 9 | |
| ¿Qué tanto confía en su seguridad de TI actual para prevenir una violación de datos en línea? | |
| Confío mucho | 25% |
| Confío en cierta medida | 57% |
| No confío ni desconfío | 16% |
| No confío por completo | 1% |
| No confío en lo absoluto | 1% |
*Todas las personas que participaron en la encuesta trabajan en empresas con 250 empleados o menos. El 46% de los participantes son dueños, presidentes o vicepresidentes de sus empresas, mientras que el 41% son gerentes o supervisores. Todos se involucran en el proceso de compra de tecnología en sus compañías.
