La Agencia Nacional de Ciberseguridad (ANCI) recientemente dio a conocer los nueve básicos de ciberseguridad, una noticia muy positiva que vuelve a poner sobre la mesa una conversación que, como organizaciones, no podemos seguir postergando: la ciberseguridad no depende solo del área de TI, de Seguridad de la Información o del CISO. Depende de todos.

Fuente: Freepik

Cuando se habla de actualizar sistemas, usar contraseñas seguras, hacer respaldos, capacitar a las personas, monitorear eventos o minimizar privilegios, muchas veces se piensa que son tareas técnicas, lejanas al día a día del negocio. Pero la realidad es distinta. Cada una de estas medidas tiene impacto directo en la continuidad de la operación, en la protección de la información, en la confianza de los clientes y en la capacidad de una organización para responder frente a un incidente.

Desde la mirada de un CISO, uno de los mayores desafíos no está solo en implementar controles, sino en lograr que éstos funcionen en la práctica. No basta con tener una política escrita, una herramienta comprada o una campaña enviada por correo. Lo importante es que las medidas sean entendidas, adoptadas y sostenidas en el tiempo.

Por ejemplo, pedir contraseñas seguras o autenticación multifactor puede parecer simple, pero requiere que las personas comprendan por qué es importante. Mantener los sistemas actualizados exige coordinación con las áreas de negocio, porque muchas veces hay ventanas de mantenimiento, aplicaciones críticas o dependencias con terceros. Hacer respaldos no sirve de mucho si nunca se prueba la recuperación. Y capacitar no significa cumplir con un curso anual, sino construir hábitos que ayuden a prevenir errores cotidianos.

Ese es probablemente uno de los mensajes más importantes detrás de los nueve básicos: la ciberseguridad se construye con acciones concretas, pero también con cultura. Y la cultura no se instala solo desde un procedimiento; se instala cuando las personas entienden su rol.

Un colaborador que identifica un correo sospechoso y lo reporta a tiempo está aportando a la ciberseguridad. Un líder que respeta una ventana de actualización está aportando a la ciberseguridad. Un área de negocio que informa oportunamente la incorporación de una nueva aplicación o proveedor también está aportando. Incluso una decisión tan simple como no compartir credenciales o bloquear el computador al ausentarse puede hacer una diferencia.

Por eso, los nueve básicos no deberían verse como una lista de tareas para el área de tecnología. Deberían entenderse como una base común para que toda la organización hable el mismo idioma respecto de la seguridad. Son medidas mínimas, sí, pero no menores. En muchos casos, son precisamente estas prácticas las que marcan la diferencia entre un incidente contenido y una crisis mayor.

El desafío para las organizaciones está en convertir estas recomendaciones en parte de la operación diaria. Eso implica asignar responsables, definir procesos, medir avances, generar evidencia y, sobre todo, mantener la conversación activa.

En definitiva, la ciberseguridad no es solo un tema técnico. Es una práctica diaria, transversal y colectiva. Y en ese camino, todos tenemos un rol que cumplir.

Por Pamela Ortiz, Gerente de Ciberseguridad y Resiliencia de Cyberturst