La importancia de instaurar una cultura empresarial que priorice la ciberseguridad


Imagen: Zdzisław Beksiński


Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.







De acuerdo con diferentes análisis del sector, la tecnología de vanguardia y los recursos de ciberseguridad altamente capacitados deberían ser la solución para garantizar la integridad de la red, ¿cierto? Si eso fuera así de sencillo no tendríamos una encuesta de la unidad de investigación de SILIKN, donde el 81.8% de los incidentes cibernéticos involucran un componente humano para habilitar a un ciberatacante, por lo que las organizaciones deben hacer más para asegurar una cultura de ciberseguridad y proteger su organización.




Pero ¿esto qué significa?




Esto comienza con comprender que siempre existe un riesgo de ciberseguridad y termina con una cultura establecida, en todos los niveles de la organización, comprometida a mitigar colectivamente ese riesgo.




¿Qué estrategias podemos implementar que puedan ayudar a establecer esa cultura y, por lo tanto, una organización más segura?




Involucra a los directivos: Construir una cultura desde arriba hacia abajo no es un concepto nuevo, pero su relevancia para la ciberseguridad dentro de las organizaciones está ganando la tracción que merece. En un nivel básico, para simplemente tener las aplicaciones técnicas y el personal experimentado necesarios para proteger adecuadamente una organización, es necesario que las personas con el control financiero estén a bordo. Es probable que la venta se haya vuelto más fácil en los últimos años a medida que los incidentes están en las noticias, la visibilidad crece y aquellos en la alta dirección ven que organizaciones similares son víctimas de ciberataques. Al final del día, el mensaje debe ser claro y fuerte desde el liderazgo de una organización de que:




a) comprendemos y apreciamos el riesgo de ciberseguridad en constante evolución para nuestra empresa y

b) estamos dispuestos a invertir en la seguridad de nuestro entorno (tanto desde un punto de vista técnico como no técnico) para proteger nuestro negocio.




La ciberseguridad debe ser prioritaria: Puede parecer que estamos pidiendo mucho a la alta dirección de una organización cuando se trata de crear una cultura de ciberseguridad, y eso podría ser cierto. Pero construir una cultura de cualquier tipo dentro de una organización comienza con que el liderazgo adopte una idea y luego continúe reconociendo y participando en el tema. En este contexto, significa hacer que la ciberseguridad sea parte del lenguaje de una organización y encontrar las oportunidades adecuadas para demostrar continuamente su importancia para la empresa. Cómo decide hacerlo una organización puede depender de cómo se comunique con su fuerza laboral en general sobre otros temas importantes, pero algunas opciones simples incluyen:




a) Reafirmar regularmente los temas de ciberseguridad a través de un boletín de correo electrónico del director de seguridad de la información (CISO, por sus siglas en inglés) —destacando no solo lo que la empresa está haciendo en el lado técnico, sino también los desafíos que enfrentan todas las organizaciones relacionados con amenazas en constante evolución (por ejemplo, la Inteligencia Artificial) y la opinión del CISO sobre cómo cada empleado puede ayudar, y

b) Discutir la ciberseguridad en pláticas dirigidas por el CEO o el COO y enfatizar la importancia de una sólida cultura de ciberseguridad para la longevidad y el éxito del negocio. Cuanto más hable el liderazgo sobre la importancia de una cultura de ciberseguridad, más los empleados reconocerán ese riesgo y, en última instancia, aceptarán un nivel de responsabilidad por la seguridad de ciberseguridad de la organización.




Capacitación continua: No puede haber duda de que la inversión en educar y formar a una base de empleados con conocimientos en ciberseguridad tiene un valor económico real para una organización. Esta formación permite a los empleados actuar como la última línea de defensa contra una variedad de amenazas cibernéticas, pero quizás igual de importante, empodera a cada empleado para ser un defensor de la ciberseguridad de la organización, recordando a sus colegas la importancia de la vigilancia en apoyo de una cultura de ciberseguridad. Entonces, ¿cómo educar a sus empleados? Se debe comenzar con la implementación de un sólido programa de formación en ciberseguridad (idealmente algo educativo y divertido) y continuar manteniendo a sus empleados alerta, utilizando correos electrónicos de prueba de phishing (e incluso mensajes de texto). La formación y las pruebas se mantienen con seguimiento, si es necesario, para mantener la ciberseguridad en la mente de todos. Las organizaciones pueden compartir los resultados de estos correos electrónicos de prueba de phishing con todos los empleados (en llamadas regulares o en su boletín del CISO) para aprovechar otra oportunidad clave de hablar y reforzar la importancia de la ciberseguridad con datos reales y luego compartir formas de ayudar a todos a mejorar.




En última instancia, construir una cultura de ciberseguridad es alcanzable al reconocer su importancia y reforzar constantemente ese mensaje. El objetivo es que las personas piensen y hablen sobre la ciberseguridad como parte de sus tareas habituales de negocios y no simplemente en el contexto de "otra capacitación" o como algo completamente ajeno a su rol. Cuando descubra que sus equipos están teniendo una conversación sobre el último correo electrónico de prueba de phishing o un evento cibernético reciente que afectó a un competidor, estará presenciando el verdadero reflejo de una exitosa cultura de ciberseguridad. Debería tomarse un momento para aplaudir el éxito de su equipo y luego, por supuesto, planificar cómo mantenerlo.




Para más información, visite: https://www.silikn.com/