Muchas veces pensamos que el departamento IT de la empresa es el que tiene que elegir y marcar las políticas de seguridad informática de la empresa. Y a partir de este punto, subir para la dirección y bajar para todo el resto de la empresa.
Y esto es lo más lejos de la realidad que existe; El PRIMERO que ha de marcar la política de seguridad informática de una empresa es el que manda por encima de todos: CEO, gerente, administrador(o administradora), o como queramos llamarles.
Y esto por tres razones:
En una empresa, la seguridad ha de emanar de arriba abajo. El departamento de IT ha de poner en práctica los protocolos de seguridad que la dirección ha decidido; naturalmente, la dirección no ha de conocer cómo se hace o qué hay que hacer. Solo ha de creer en ello y rodearse de personas que le aconsejen y sean capaces de hacerlo realidad.
Pero si la figura más importante de una empresa no cree en ello, la empresa no podrá aplicar correctamente todos estos protocolos que la protegen.
Todos hemos vivido muchos casos en que esta falta de compromiso en este campo de parte de la dirección ha frustrado una implementación de seguridad planeada.
Por esta razón, cada vez más aparece la figura del CISO y del CSO, que se “colocan” entre el/la CEO y el departamento de IT (con todos los acrónimos americanos, que son muy chulos, para definir estos puestos). En algunas organizaciones ya sientan a estas figuras (CISO o CSO) en la sala de juntas y órganos directivos. Estas figuras son las que ayudan al/la CEO a elegir bien las políticas de seguridad informática, y las trasladan a los que acabaran ejecutándolas: los y las profesionales del departamento de IT.
También en el apartado de seguridad el líder (o la lideresa) debe ser como un faro; no solo nos indica donde está la luz, sino que también cómo llegar a ella.