El CSO no es el responsable de la ciberseguridad de la empresa
Entrevistamos a Dave Francis, CSO de Huawei para Europa, una organización para la que la seguridad es prioridad a todos los niveles: dispositivos, empleados, propiedad intelectual, innovación, y por supuesto la red.
Huawei comparte su enfoque en la seguridad con la comunidad, en palabras de Dave Francis, CSO de Huawei, para él “es una estrategia que le permite que todo un ecosistema opine y comparta basados en lo que hace la organización, y así puede recoger más opiniones de empleados, usuarios y la comunidad en general”. Este es uno de los motivos por los que la empresa decidió publicar su política de seguridad en 2013 y la hizo disponible a toda la comunidad.
Para Huawei es muy importante lo que diga el cliente, los compradores son quienes más rápido se mueven, opinan y usan las tecnologías. Estar cerca del comprador es clave porque se firman contratos y se hacen acuerdos de usabilidad y de seguridad, y por supuesto las ideas y las guías deben ser el resultado de la colaboración de todo el ecosistema.
“La ciberseguridad no tiene fronteras”
Francis refuerza el hecho de que una organización de la importancia como la de Huawei tiene también la responsabilidad para que los usuarios hagan el uso correcto de los equipos que fabrican, y de mantener la seguridad en la red, de esta forma se obtiene la combinación correcta, dispositivos seguros, usuarios haciendo el uso correcto, y una red segura.
Escuchar al usuario es siempre un reto, motivo por el cual la compañía ha creado distintos foros exclusivos, y ayuda a motivar a los usuarios para que comenten y compartan información para así poder mejorar los productos y que dicha mejora sea parte de la comunidad.
“El CSO no es el responsable de la Ciberseguridad, es el usuario”
Una estrategia correcta de Ciberseguridad involucra al usuario y le ayuda a entender que en ellos radica la fortaleza de la Ciberseguridad. Francis es muy insistente en la organización para conseguir que los empleados se conciencien y adopten la Ciberseguridad, con este objetivo los empleados no solamente deben aprobar pruebas de cumplimiento, sino que también participan en formación dos semanas después de entrar en la empresa, y formaciones periódicas posteriores, adicionalmente la Ciberseguridad se hace parte de la descripción del puesto de trabajo, sin importar el rol que tenga el empleado en la empresa.
En Huawei la Ciberseguridad se enseña dependiendo del rol. Los cursos estándar no tienen el mismo efecto en las personas, en estos cursos se “sueltan cientos de términos técnicos” a los que los empleados no reaccionan apropiadamente, esta es la razón por la que en Huawei la formación se ha adaptado al rol del empleado.
Por ejemplo, una vez al mes el Centro de Servicio al Usuario recibe una llamada de alguien que finge ser un vicepresidente o alto directivo y exige que le den información que no debería recibir por medio de este canal, y este es un ejemplo de cómo se educa y se auditan los procesos y procedimientos, y de cómo se puede enseñar las políticas de Ciberseguridad de la empresa.
Para una organización como Huawei, la seguridad es prioridad a todos los niveles, dispositivos, empleados, propiedad intelectual, innovación, y por supuesto la red. El enfoque fundamental es el de incluir la Ciberseguridad de punto a punto, desde los proveedores, pasando por la empresa y alcanzando al usuario.
