La importancia de la seguridad en los gimnasios y en las organizaciones
Medidas de seguridad en los gimnasios
Recientemente, mientras asistía a mi gimnasio local, noté que estaban llevando a cabo trabajos de mantenimiento en los casilleros de los vestuarios. Estos casilleros son de uso común y los miembros del gimnasio traen sus propios candados para asegurar sus pertenencias.
Desde hace meses, había notado que los mecanismos de cierre de los casilleros estaban bastante flojos, por lo que me alegré de ver que se estaban realizando reparaciones. Durante una conversación entre el personal del gimnasio, escuché que la semana anterior se habían producido varios robos. Como resultado, el gimnasio decidió aumentar la seguridad, incluyendo la activación del bloqueo con código de llave en los vestuarios, el cual generalmente estaba desactivado durante el día.
Esta situación me hizo sentir un verdadero riesgo, tanto que decidí no dejar las llaves de mi casa en el casillero y opté por llevarlas conmigo mientras hacía ejercicio. Además, ahora presto más atención al cerrar mi candado para asegurarme de que esté bien seguro.
Reacción a incidentes de seguridad
Aunque estas medidas de seguridad son útiles, tanto el gimnasio como yo nos dimos cuenta de la importancia de revisar nuestra postura de seguridad después de que ocurriera un incidente. Es posible que los ladrones ya se hayan ido y hayan buscado otros gimnasios con poca seguridad. Sin embargo, el hecho de que el gimnasio haya aumentado su seguridad me hace sentir más incómodo de lo que solía estar.
Es irónico que en el momento en que estuve en mayor riesgo, no era consciente de ello. Podría haber estado corriendo felizmente en una cinta mientras un ladrón robaba en un casillero cercano.
Este patrón de aumentar la seguridad después de un incidente puede parecer una reacción tardía, pero en realidad es valioso para prevenir futuros problemas. Es como cerrar la puerta después de que uno de tus tres caballos se haya escapado. No es tan bueno como cerrarla antes, pero es mejor que dejarla abierta.
La previsibilidad de los robos en los casilleros
Lo que me llamó la atención sobre los robos en los casilleros es que, en retrospectiva, eran completamente predecibles. Los mecanismos de cierre estaban sueltos y era fácil ver cómo podrían ser vulnerados. Además, había una cultura de confianza en el gimnasio, donde la gente dejaba sus pertenencias sin candado.
Como dice el refrán, «solo hace falta una manzana podrida». Con el tiempo, es probable que aparezca alguien con malas intenciones.
Seguridad de la información y ciberseguridad
Este patrón de confianza y complacencia no solo se encuentra en los gimnasios, sino también en las organizaciones. Si una empresa no ha experimentado una violación de datos, la seguridad de la información puede parecer una formalidad molesta o incluso algo que no es tan «real» como otros riesgos más inmediatos. Sin embargo, existen actores hostiles que apuntan a las empresas, incluyendo la suya y la mía.
Es probable que en la mayoría de las organizaciones exista al menos una aplicación que presenta vulnerabilidades de seguridad, ya sea porque no tiene soporte o porque no se considera una prioridad. Actualizar o reemplazar estas aplicaciones puede parecer importante pero no urgente, lo que lleva a dejarlas sin atención y acumulando riesgos. Estas vulnerabilidades podrían brindar a los atacantes un acceso más amplio a los sistemas e información de la organización.
Además, la seguridad no se trata solo de los datos de los clientes. También es importante considerar la propiedad intelectual de la organización, cómo se almacena, quién puede acceder a ella y cómo se realiza la copia de seguridad. En muchas organizaciones, esta información clave se encuentra dispersa y no se le da la debida importancia.
La importancia de la seguridad en los negocios y en los procesos de TI
A veces se percibe que la seguridad de la información y la ciberseguridad son responsabilidad exclusiva del departamento de TI. Sin embargo, la realidad es mucho más amplia. El eslabón más débil puede no ser el técnico, sino la persona que opera el sistema y que puede ser víctima de ingeniería social.
Esto tiene implicaciones importantes para el análisis empresarial. La seguridad debe ser incorporada en los sistemas y procesos de TI desde el principio. Es necesario pensar en quién podría intentar acceder de manera