Los últimos años fueron bastante particulares y aun hoy las cosas siguen cambiando a un ritmo acelerado a nuestro alrededor. Y las organizaciones no son la excepción: todas ellas han tenido que hacer numerosos ajustes, fortalecer áreas o iniciativas específicas (o incluso crearlas), como la cultura de ciberseguridad.
Es que el cambio hacia el trabajo remoto –impulsado por la emergencia sanitaria producto de la Covid-19– produjo una reacción en cadena de eventos que dieron lugar a un aumento exponencial e imprevisto de ciberataques. El FBI reportó un aumento del 300% en cibercrímenes en los Estados Unidos desde el comienzo de la pandemia.
Incluso luego de la pandemia, muchas empresas optaron por al menos adoptar un modelo de trabajo híbrido, lo que a su vez impulsó cambios en su relación con la ciberseguridad. De este modo, las organizaciones y equipos de ciberseguridad comenzaron a idear nuevas estrategias para lidiar con este nuevo ecosistema.
Es por esto que los profesionales de ciberseguridad se vieron ante la necesidad de enfatizar aun más el rol de la cultura organizacional. Esto significa que, más allá de la implementación de antivirus y firewalls, la percepción que tienen los empleados sobre las amenazas y las nociones individuales acerca de la ciberseguridad juegan un papel cada vez más importante para mantener a la organización y sus activos digitales seguros.
En sintonía con esto, hubo un cambio de foco que busca construir una cultura de ciberseguridad más fuerte dentro de las organizaciones.
¿A qué nos referimos con “cultura de ciberseguridad”?
Las políticas de ciberseguridad de muchas organizaciones giran en torno a los equipos o departamentos de ciberseguridad.
El equipo, junto con el CISO (Director de Seguridad de la Información), prepara las políticas de seguridad para la organización, así como también estrategias basadas en los recursos disponibles, el riesgo y otros factores. Lo se busca con una cultura de ciberseguridad es descentralizar las responsabilidades de ciberseguridad para todos en la organización.
Ahora veamos la “cultura organizacional”
La cultura de una organización define la conducta de los empleados en su ambiente de trabajo, al margen de si están trabajando de manera presencial o remota. Establece los modos de comunicación, los límites, los códigos de vestimenta y conducta, y lo que se espera de ellos.
Una cultura de ciberseguridad busca reducir los riesgos generales de ciberseguridad mediante el fortalecimiento de los eslabones más débiles de la organización y su recurso más preciado: la gente.
La cultura de ciberseguridad impulsa a la cultura organizacional para reducir el riesgo de seguridad
En lugar de definir protocolos para cada situación o enviar correos electrónicos todos los meses para recordarles a los empleados que cambien sus contraseñas, una cultura de ciberseguridad busca inculcar las mejores prácticas de seguridad directamente en la fuerza de trabajo.
En lugar de decirles a los empleados lo que tienen que hacer, es preciso concentrarse en que sean conscientes de los riesgos y conozcan las mejores prácticas. Este enfoque empodera a los empleados para que tomen decisiones en sus actividades laborales sin dejar de lado a la ciberseguridad.
Por ejemplo, es común que en muchas organizaciones los equipos de ciberseguridad implementen la autenticación de dos pasos en todos los dispositivos o cuentas de los empleados. Sin embargo, si un equipo se encuentra desarrollando un producto para uso interno, la seguridad a menudo pasa a segundo plano. Con una buena cultura de ciberseguridad, el mismo equipo se sentirá motivado a integrar proactivamente funcionalidades de seguridad al producto desde el comienzo.
Una cultura de ciberseguridad efectiva busca que los empleados naturalicen todas estas nociones de seguridad, del mismo modo que lo hacen con la colaboración digital o el fichaje de entrada y salida todos los días.
¿Cómo construir una cultura de ciberseguridad?
La creciente necesidad de una cultura de ciberseguridad se vio impulsada por la pandemia. Los ataques de ransomware y phishing se volvieron mucho más comunes durante este período, dejando más expuestos a este tipo de ataque a los empleados y sus dispositivos.
Ante esta situación, los equipos de IT y ciberseguridad se vieron superados para lograr contener a estas amenazas. Si bien las herramientas de gestión de activos y detección de amenazas mediante IA han demostrado ser de gran utilidad, es importante que todos los empleados tengan un rol activo para garantizar la seguridad digital de la organización.
Además del phishing, una fuerza de trabajo remota y distribuida abre las puertas a otros problemas de ciberseguridad. A diferencia del trabajo en la oficina, los dispositivos de los empleados no están físicamente seguros con el trabajo remoto. Podría pasar que uno de los miembros de tu equipo descuide su laptop por un momento en una cafetería o sufra un robo en su casa.
El riesgo de IT en las sombras también aumenta con el trabajo remoto. Los empleados son más propensos a utilizar herramientas o software que sientan que se adapta mejor a su trabajo sin que el departamento de IT lo sepa. Esto puede crear riesgos desconocidos para la organización.
Un equipo que es consciente de los riesgos de ciberseguridad, que toma decisiones orientadas a la seguridad proactivamente, que se preocupa por la ciberseguridad incluso cuando nadie está mirando, puede mitigar significativamente los riesgos de ciberseguridad y crear una organización ciber-resiliente.
6 Estrategias para construir una cultura de ciberseguridad
Aquí te compartimos algunas estrategias que los expertos recomiendan para construir una cultura de ciberseguridad robusta.
1. Construir soporte desde arriba
Este es uno de los pasos más importantes y uno de los primeros que se debe dar para construir una cultura de ciberseguridad. Es necesario que la organización distribuya recursos para esta iniciativa y cuente con el apoyo de los altos cargos para optimizar esta implementación.
Es de suma importancia que la gestión entienda la necesidad de una cultura de ciberseguridad, sus beneficios y cómo puede reducir los gastos y aumentar la reputación a largo plazo.
La participación de los ejecutivos también les permitirá a otros empleados entender su importancia y los impulsará a acompañar la iniciativa. Una persona que abogue por la ciberseguridad entre los ejecutivos puede motivar a la organización en su totalidad para que perfeccione sus competencias de ciberseguridad.
2. Generar conciencia dentro de la organización
Los empleados que son conscientes del impacto de un incidente de ciberseguridad y conocen las medidas simples para evitarlos son más propensos a acompañar tus iniciativas.
El Dr. Dawud Gordon, CEO de TWOSENSE.AI, se encuentra trabajando en conjunto con el Departamento de Defensa de los Estados Unidos para desarrollar una ciberseguridad de grado militar. Hablamos con él para que nos cuente cómo construir una cultura de ciberseguridad dentro de una organización y nos dijo lo siguiente: “Si los empleados conocen el impacto de una potencial brecha, son mucho más propensos a cambiar su comportamiento para prevenir el peor escenario posible”.
“Saber que los teléfonos no pararán de sonar con clientes preocupados al otro lado de cada línea a la que puedan comunicarse, que la prensa les pedirá información a empleados aleatorios y que las demandas judiciales podrían requerir procesos de descubrimiento muy tediosos podría cambiar la percepción que se tiene sobre los inconvenientes de seguridad”.
Dr. Dawud Gordon, CEO de TWOSENSE.AI
3. Recompensas, no castigos
La mayoría de los expertos en ciberseguridad están de acuerdo con que los castigos o una cultura de la vergüenza no es el camino correcto. Tal vez hayas notado que algunos miembros de tu organización pueden ser alarmantemente laxos en lo que respecta a las prácticas de ciberseguridad. Por tal motivo, es importante entender que el punto de construir una cultura de ciberseguridad es entender a estas personas y ayudarlas a corregir su rumbo.
Si bien las acciones punitivas pueden darte resultados en el corto plazo, tu equipo no entenderá ni apreciará los objetivos y los resultados podrían desaparecer en cuestión de semanas.
Recompensar el buen comportamiento es más probable que aliente la participación y tu equipo adopte una actitud positiva con este programa. Puedes implementar estrategias de gamificación y hacer que sea algo divertido dentro de la cultura, de modo que tus empleados hablen de eso.
Tienes que aprender a vender tu cultura de ciberseguridad. Puedes lanzar productos publicitarios como estuches para laptops o sudaderas con la marca, y regalárselos a aquellos trabajadores excepcionales.
4. No la implementes y la abandones
La cultura de ciberseguridad no es algo que puedes implementar con solo uno o dos seminarios o recordatorios en la oficina. Es un proceso continuo, un ciclo de implementación, medición, análisis y revisión de estrategias.
Las amenazas están en constante evolución y debes mantener actualizadas tus estrategias para que tus empleados estén preparados.
5. Introduce tus iniciativas gradualmente
No intentes implementar todas las políticas de ciberseguridad de una vez. Empieza por algo pequeño y construye arriba de eso. El error más común es embarcarse en tareas imposibles, según el Dr. Gordon.
“Muchos equipos de seguridad intentan implementar todas las mejores prácticas de ciberseguridad a la vez en toda la organización. Y esa es la receta para el desastre. Lo único que producirá es que los usuarios se sientan agobiados ante los nuevos posibles inconvenientes y los equipos de seguridad queden saturados de trabajo para ajustar las nuevas políticas”.
Dr. Dawud Gordon, CEO de TWOSENSE.AI
No estreses a tu organización y asegúrate de que no lo sientan como una obligación. Para construir una cultura de esta índole, tu equipo debe querer hacerlo. Debería entender su importancia y debería estar a tu lado.
6. Arma a tus equipos con las herramientas correctas
Esto puede sonar como algo obvio, pero es una parte esencial para fomentar una cultura de ciberseguridad. Ayuda a tus equipos a internalizar estos conceptos entregándoles una herramienta que les permita mantener estos problemas al frente.
La seguridad de IT de InvGate Insight y las competencias de cumplimiento de ciberseguridad te permitirán detectar si tus activos se encuentran dentro de los estándares de seguridad de tu organización, así como también si satisfacen otras necesidades de cumplimiento externas.
Por ejemplo, puede marcar aquellos activos que requieren especial atención, detectar activos que estén ejecutando software no autorizado y revisar activos cuya garantía esté próxima a vencer.
Cómo Yahoo creó una cultura de ciberseguridad
La cultura de ciberseguridad construida por la organización de ciberseguridad de Yahoo (llamada “The Paranoids”) es un gran ejemplo a seguir y podemos acceder a ella gracias a este estudio de caso realizado por la Harvard Business Review.
Para empezar, la organización unió al equipo rojo, al equipo de seguridad y al equipo de ingeniería del comportamiento en uno solo, ya que estos tres operaban por separado dentro de la empresa.
El primer paso que tomaron fue establecer las diferencias entre acciones, hábitos y comportamientos. Los hábitos son acciones repetidas y los comportamientos son una combinación de hábitos y acciones dentro de un contexto determinado.
Por ejemplo, utilizar una VPN es considerado una acción, mientras que entrenar a los empleados para que presionen un botón instintivamente y se conecten a una VPN es un hábito. El comportamiento se refiere a que los empleados utilicen la VPN cada vez que tienen que conectarse al servidor de la empresa.
Una vez que se definieron estos conceptos, establecieron objetivos de comportamiento. La finalidad no era crear una acción o hábito, sino algo que el equipo quería que los empleados hicieran en una situación específica.
Ya establecidos estos objetivos, el siguiente paso fue entender el punto de partida e implementar medidas para cambiarlo. Un aspecto importante a la hora de establecer los objetivos fue asegurarse de que nadie tuviera que medirlos cualitativamente.
Por ejemplo, un equipo reconoció que los empleados eran vulnerables a ataques de phishing a través de páginas de inicio falsas. Paranoids identificó tres métricas:
- Tasa de susceptibilidad: el número de empleados que ingresaron sus credenciales y no reportaron los emails, dividido por la cantidad total de emails enviados.
- Tasa de captura de credenciales: el número de empleados que compartieron/ingresaron sus credenciales en la página falsa y no reportaron el enlace, dividido por el número de personas que llegó a la página de phishing.
- Tasa de reportes: el número de personas que reportaron los emails, dividido por la cantidad total de emails enviados.
Tal como se puede observar, las métricas son objetivas y fáciles de medir. Los equipos introdujeron cambios significativos a estas métricas por medio de interacciones bien cuidadas.
Entre las acciones tomadas se encuentran la instalación de gestores de contraseñas, que aseguraron que los empleados ingresaran sus contraseñas solo en los dominios reales y no en sitios falsos de phishing. También les ofrecieron productos de la empresa como camisetas y gorros a aquellos empleados que utilizaban el gestor de contraseñas. Por otra parte, Paranoids creó un panel de control para que los administradores pudieran analizar el rendimiento de su equipo y compararlo con el de otros equipos.
A través de competencias, recompensas e incentivos, el equipo implementó cambios a lo largo de toda la organización, modificó el comportamiento de sus empleados y, como resultado, logró crear una cultura de ciberseguridad robusta.
