- Enfoque para organizaciones tecnológicas.
Por Mtro. Nelson Castro*
A lo largo de mi carrera profesional, después de haber usado el uniforme militar y pertenecer al servicio secreto, posteriormente enfocando mi visión a la empresa privada permitiendo mejorar mis alcances profesionales y de liderazgo en empresas tecnológicas, ostentando mi cargo actual Head of Trust and Safety para la organización Rappi Internacional, fuí invitado por Más Seguridad Magazine a compartir mis pensamientos y experiencias en un tema apasionante para mí que es la seguridad corporativa aplicada a empresas tecnológicas y que seguramente será del agrado de todos en relación a algunas estrategias clave para los profesionales de seguridad, particularmente aquellos dedicados a empresas tecnológicas.
La gestión de la seguridad corporativa ha evolucionado significativamente, y hoy más que nunca es esencial incorporar prácticas de seguridad efectivas y adaptadas a los desafíos específicos del entorno tecnológico y aún más en América Latina, donde se exige una combinación de conocimientos tradicionales de seguridad y comprensión profunda de las dinámicas empresariales. Las empresas deben integrar la seguridad en todas las fases del desarrollo y adaptarse constantemente a las amenazas emergentes, sin sacrificar la innovación.
A medida que los riesgos evolucionan, también lo deben hacer las estrategias y las herramientas de seguridad. -Es fundamental que los líderes de seguridad, especialmente aquellos dedicados a las empresas tecnológicas, lideren con visión estratégica, integrando la seguridad en la cultura organizacional y ayudando a la empresa a alcanzar sus objetivos de manera segura y eficiente-. Para ello se debe tener un comienzo sobre lo básico tal como:
- Definición y establecimiento de los requerimientos de seguridad desde el inicio: El cual considero como primer paso en la gestión de seguridad corporativa en empresas tecnológicas estableciendo claramente los requisitos de seguridad al inicio de cualquier proyecto. Tal vez esto genera un esfuerzo mayor en relación a la protección de datos, gestión de accesos y respuesta ante incidentes. Si miramos en detalle estos parámetros, aseguramos que la seguridad no sea un añadido posterior -como suele ocurrir en algunas organizaciones-, sino un pilar fundamental desde el comienzo.
- Documentación robusta de procesos y políticas: Quiero resaltar este aspecto para lograr trazabilidad y control, lo cual es imperioso crear documentación exhaustiva que detalle todos los procesos, políticas y procedimientos relacionados con la seguridad. Esta documentación no solo facilita el seguimiento y la verificación de la implementación, sino que también establece una base sólida para la mejora continua y aspectos de compliance.
- Implementación de herramientas de gestión de versiones: No obstante es serlo sino parecerlo y para ello las herramientas de gestión de versiones son cruciales para garantizar trazabilidad, especialmente cuando se trata de código fuente y documentación. Estas herramientas permiten rastrear cambios y verificar que se mantengan los estándares de seguridad en cada nueva iteración del softwares o programas de gestión.
- Integración de seguridad en el ciclo de vida del desarrollo (DevSecOps): La protección de las empresas tecnológicas se integra en la seguridad de forma continua a lo largo del ciclo de vida del desarrollo de software (DevSecOps) como movida esencial. Desde la fase de diseño hasta el despliegue, la seguridad debe estar presente en cada etapa, con pruebas de vulnerabilidades realizadas de manera constante, sin esto el sistema será vulnerable y esto deberá quedar registrado en los análisis de riesgos corporativos.
- Auditorías y revisiones regulares: Pero todo esto no se podrá evaluar si no se realizan auditorías y revisiones periódicas como práctica fundamental para garantizar el cumplimiento de las políticas de seguridad. Estas auditorías deben ser una herramienta de mejora continua, donde los hallazgos y las acciones tomadas se documentan y se utilizan para fortalecer la infraestructura de seguridad de la organización.
- Capacitación y cultura de seguridad: Tal vez uno de los más grandes retos que los directores de seguridad enfrentamos es crear y fomentar una cultura de seguridad como aspecto clave para el éxito a largo plazo. La capacitación continua sobre prácticas de seguridad y la importancia de la trazabilidad es esencial. Los empleados deben entender cómo su trabajo diario contribuye a la seguridad general de la organización, y cómo las amenazas pueden evolucionar con el tiempo. Dado que las empresas tecnológicas manejan datos sensibles y propiedad intelectual, la ciberseguridad debe ser una prioridad. La capacitación sobre amenazas emergentes, como el phishing, y la implementación de medidas preventivas contra el acceso no autorizado son pasos clave. Asimismo, es esencial que los líderes de seguridad trabajen de manera cercana con el equipo de TI para garantizar que las medidas de seguridad no afecten la innovación ni la experiencia del usuario.
- Gestión efectiva de incidentes: Mis superiores en tiempos pasados me orientaban con respecto a que no solo basta con crear planes de seguridad y medidas de mitigación y protección conllevando a la implementación de sistemas robustos para documentar y analizar incidentes de seguridad. Esto no solo mejora la trazabilidad, sino que también permite aprender de cada incidente, adaptando las políticas y procedimientos para prevenir futuros riesgos. -La seguridad no es absoluta-.
- Métricas de seguridad para una evaluación constante: Aunque el trabajo se haga a conciencia y en una total satisfacción es importante establecer y monitorear métricas de seguridad como elemento crucial para evaluar la efectividad de las políticas y prácticas implementadas. Las métricas permiten realizar ajustes cuando sea necesario, asentar que la seguridad se mantenga a la vanguardia de las amenazas emergentes. Igualmente dentro de la rendición de KPIs las métricas, tendencias y evidencia estadística contribuyen notablemente en la presentación de indicadores de gestión.
- Cumplimiento normativo y regulaciones: No sin antes mencionar que los elementos normativos, normas y regulaciones cumplen aspectos vitales en apego a lineamientos de compliance corporativa, de tal manera es imperativo asegurarse de que las prácticas de trazabilidad y seguridad estén alineadas con las normativas y regulaciones vigentes (como GDPR, ISO 27001, etc.). Esto genera acciones fundamentales para evitar sanciones y mejorar la confianza de los usuarios. El cumplimiento de estos estándares también añade una capa adicional de responsabilidad en la gestión de la seguridad. -Las políticas internas deben reflejar no solo las regulaciones locales, sino también las internacionales, para garantizar el cumplimiento-.
- Uso de tecnologías avanzadas de trazabilidad: Las plataformas de gestión de riesgos, software de auditoría y sistemas de gestión de incidentes son herramientas que pueden facilitar enormemente la trazabilidad en la seguridad. Estas tecnologías ayudan a automatizar procesos y a mantener un registro detallado de todas las acciones relacionadas con la seguridad.
La seguridad no es un proceso estático; debe evolucionar constantemente con la misma rapidez con que lo hace la tecnología. La educación continua en nuevas tecnologías de seguridad y en la identificación de riesgos emergentes es clave para la gestión efectiva de la seguridad. Las empresas deben fomentar una cultura de innovación que incorpore la seguridad en cada proceso, garantizando que no se vea como un obstáculo, sino como un habilitador para un crecimiento sostenible.
*Mtro. Nelson Castro, Head of Trust and Safety at Rappi Int., CPP, MBA University of Liverpool, England.
