Francesc Xavier Vendrell – Senior Security Consultant

 

Moltes vegades pensem que el departament IT de l’empresa és el que ha d’escollir i marcar les polítiques de seguretat informàtica de l’empresa. I a partir d’aquest punt, pujar cap a la direcció i baixar cap a la resta de l’empresa.

I això és el més llunyà a la realitat que existeix; El PRIMER que ha de marcar la política de seguretat informàtica d’una empresa és el que mana per sobre de tots: CEO, gerent, administrador (o administradora), o com vulguem anomenar-los.

I això per tres raons:

  • És la persona amb la responsabilitat jurídica: Si passa alguna cosa, ell o ella és el màxim responsable avant la llei. Ha de protegir-se.
  • És la persona que dona comandament i exemple: És la persona que tot el món escoltarà, observarà i “copiarà”. Si ha d’utilitzar un sistema “incòmode” de MFA (múltiple factor d’autentificació) i no piula, tot el món ho farà sense problema. Si ha d’utilitzar VPN, o tenir una contrasenya de 12 caràcters, tot el món s’adaptarà a fer-ho.
  • És la persona que avalarà les inversions adequades per poder implementar la seguretat (no ens enganyem, la seguretat no es paga amb bones intencions).

En una empresa, la seguretat ha d’emanar de dalt a baix. El departament de IT ha de posar en pràctica els protocols de seguretat que la direcció ha decidit; naturalment, la direcció no ha de conèixer com es fa o què s’ha de fer. Només ha de creure en ell i rodejar-se de persones que l’aconsellin i siguin capaços de fer-ho realitat.

Però si la figura més important d’una empresa no creu en allò, l’empresa no podrà aplicar correctament tots aquests protocols que la protegeixen.

Tots hem viscut molts casos en què aquesta falta de compromís en aquest camp de part de la direcció ha frustrat una implementació de seguretat planejada.

Per aquesta raó, cada vegada més apareix la figura del CISO i del CSO, que es “col·loquen” entre el/la CEO i el departament de IT (amb tots els acrònims americans, que són molt xulos, per definir aquests llocs de treball).

En algunes organitzacions ja assenten a aquestes figures (CISO o CSO) a la sala de juntes i òrgans directius. Aquestes figures són les que ajuden al/la CEO a escollir bé les polítiques de seguretat informàtica, i les traslladen als que acabaran executant-les: els i les professionals del departament IT.

També en l’apartat de seguretat el líder (o la líder) ha de ser com un far, no només ens indica on està la llum, sinó que també com arribar a ella.

 

Tags