El último tiempo representó una bisagra en el sector empresarial en muchos aspectos, aunque aún hoy la situación continúa evolucionando. De hecho, no hace falta que yo te lo diga, seguramente ya lo estés experimentando tú mismo.
Además de la escasez mundial de chips, el retraso de ciertos eventos tecnológicos y del lanzamientos de muchos productos; uno de los cambios más importantes implicó virar hacia el trabajo remoto. Como consecuencia de este fenómeno, se produjo un repentino y enorme aumento de los ciberataques. Así lo informó el FBI que presentó un incremento del 300% en los delitos cibernéticos en los EE.UU. desde el inicio de la pandemia.
Pero incluso después del covid-19, la mayoría de las empresas optaron por adoptar un modelo laboral híbrido, lo cual impulsó modificaciones en los enfoques de la ciberseguridad, que incluyó la creación de nuevas estrategias para hacer frente a este particular entorno.
En este contexto, los expertos en el tema comenzaron a hacer hincapié en el lugar fundamental que tiene la cultura organizacional. Más que el software antivirus y los firewalls, la percepción de las amenazas y las nociones de ciberseguridad por parte de los empleados, desempeñan un papel cada vez más importante a la hora de mantener a salvo la organización y sus activos de IT y digitales.
Por lo tanto, se impulsó la evolución hacia una sólida cultura de ciberseguridad dentro de las empresas, tema que abordaremos en profundidad en las próximas líneas.
¿Qué es la cultura de ciberseguridad en empresas?
El equipo o departamento de ciberseguridad, junto con el CISO o Chief Information Security Officer, son los responsables de elaborar las políticas de ciberseguridad y preparar las estrategias, basadas en los recursos disponibles, los riesgos cibernéticos implicados y otros factores trascendentes.
La cultura de ciberseguridad consiste en descentralizar las responsabilidades de la ciberseguridad para involucrar a todos los miembros de la organización.
En este sentido, la concientización sobre este tema es crucial para promover una cultura que se caracterice por el compromiso de la dirección, la responsabilidad colectiva, la planificación detallada de las respuestas a los incidentes, la implementación de políticas de seguridad claras y el enfoque hacia la mejora continua.
Cultura organizacional vs. cultura de ciberseguridad
La cultura de una organización define cómo se comportan los empleados en su entorno de trabajo, ya sea en una oficina o en una situación laboral en sus hogares. En concreto, dicta la forma de comunicación, los límites, la manera de vestir o de presentarse y las expectativas respecto de cada persona.
Por su parte, una cultura de ciberseguridad intenta reducir el riesgo general de ciberseguridad reforzando el eslabón más débil de una empresa y su recurso más valioso: su gente.
En lugar de definir protocolos para cada situación o enviar correos electrónicos mensuales recordando a los empleados que cambien sus contraseñas, una cultura de ciberseguridad arraiga las mejores prácticas en el personal.
En definitiva, ya no hay que decirles a los empleados qué deben hacer, sino capacitarlos acerca de los riesgos y las mejores prácticas para que puedan tomar las decisiones adecuadas en sus tareas cotidianas teniendo en cuenta la ciberseguridad.
Pero la realidad a veces es otra: seguramente los equipos de ciberseguridad implementen la autenticación de dos factores para todos los dispositivos o cuentas de las personas. Sin embargo, en el desarrollo de un producto para uso interno, la seguridad se convierte en una idea tardía.
Con una buena cultura de ciberseguridad, la situación sería diferente: el equipo incorporaría proactivamente desde el inicio funciones de seguridad al producto.
En definitiva, una cultura de ciberseguridad eficaz es hacer que la seguridad sea parte natural de los empleados, al igual que lo son la colaboración digital o la acción de fichar a la entrada y a la salida.
Los 14 tipos más comunes de ciberataques (y cómo prevenirlos)
¿Cómo se construye una cultura de ciberseguridad?
La necesidad de una cultura de ciberseguridad fue impulsada tanto por la pandemia como por el consecuente trabajo a distancia debido a los crecientes ataques de ransomware y los correos electrónicos de phishing.
Es que los dispositivos de los empleados que ahora desempeñan sus funciones de manera remota, son más propensos a los riesgos. Puede suceder que dejen sus laptops desatendidas en una cafetería o se produzca un robo en sus casas. En cualquier caso, esto representa un problema.
El shadow IT también es probable que ocurra en estos entornos, ya que los trabajadores usan herramientas o software que consideran más adecuados, sin el consentimiento del departamento de IT.
Si bien quedó demostrado que las herramientas de ITAM y la detección de amenazas mediante la IA resultan fundamentales, los empleados deben tener un papel más activo para garantizar la seguridad digital en toda la organización.
Un equipo consciente de los riesgos de ciberseguridad, que tome proactivamente decisiones orientadas a la seguridad y se preocupe por el tema incluso cuando nadie lo está observando, mitiga significativamente los riesgos y contribuye a crear una empresa ciber-resistente.
También es clave incentivar al personal a informar sobre posibles incidentes así como disponer de un plan de respuesta a problemas que se encuentre bien documentado.
Cómo reducir los riesgos de seguridad informática con la Gestión de Activos
Estrategias para crear una cultura de ciberseguridad
Para crear una sólida cultura de ciberseguridad, es menester adoptar una estrategia integral que involucre a todos los niveles de la organización, desde la alta dirección hasta los empleados de primera línea.
Las acciones en el marco de dicha estrategia abarcan la formación y la concientización, el incentivo de la responsabilidad compartida, el desarrollo de políticas claras que impulsen cambios de comportamientos y la implementación de tecnologías de soporte.
Conseguir el apoyo de la dirección e involucrar a todos
La organización tendrá que asignar recursos a la iniciativa de ciberseguridad, por lo que el apoyo de la alta dirección será fundamental para agilizar la implementación.
Para lograr esto, hay que explicar claramente la necesidad de formar una cultura de ciberseguridad, así como sus beneficios y la manera en que podrá ahorrar gastos y elevar la reputación a largo plazo.
La participación de los ejecutivos también ayudará a otros empleados a comprender su importancia y los impulsará a sumarse al plan, destacando los valores de colaboración y responsabilidad compartida.
Aumentar la formación y la concientización
Los empleados que son conscientes del impacto de un incidente y de las maneras de evitarlo resultan más propensos a colaborar con este tipo de iniciativas.
Al respecto, el Dr. Dawud Gordon, Director General de TWOSENSE.AI, quien trabaja con el Departamento de Defensa de Estados Unidos para desarrollar una ciberseguridad de nivel defensivo, declaró: “Si los trabajadores son educados sobre el impacto de una violación potencial, están mucho más dispuestos a cambiar su comportamiento para prevenir ese escenario”.
Desarrollo de políticas claras
Los cimientos de una cultura de ciberseguridad constituyen las políticas, es decir, el conjunto de directrices, reglas y procedimientos que una organización implementa para proteger sus activos digitales, su información y sus sistemas frente a amenazas cibernéticas.
Estas políticas definen la manera en que se maneja la información, las medidas de seguridad que se aplicarán y la forma de gestionar los incidentes.
Las mismas deben ser claras y accesibles para todos los niveles de la organización. Además, tienen que revisarse con regularidad para estar al tanto de las amenazas y los cambios tecnológicos.
Implementación de tecnologías de soporte
Para facilitar la aplicación de medidas en pos de la ciberseguridad, las herramientas tecnológicas serán de gran ayuda al igual que ciertas prácticas recomendadas para tal efecto.
Una de ellas es la autenticación multifactor para acceder a sistemas y datos sensibles, lo cual implica una reducción del riesgo para ingresos no autorizados.
El uso de instrumentos avanzados de monitoreo y análisis de los riesgos también sirve para identificar y poder responder ante las amenazas en tiempo real.
¿Qué es shadow IT y cómo detectarla?
Consejos para promover una cultura que abrace la ciberseguridad
La gamificación como recompensa del buen comportamiento
La mayoría de los expertos en ciberseguridad coincide en que los castigos o la cultura de la vergüenza resultan ineficaces para promover una cultura de ciberseguridad.
Aunque la acción punitiva puede dar buenos resultados a corto plazo, el equipo no entenderá ni apreciará los verdaderos objetivos, por lo que el éxito desaparecerá con el tiempo.
En cambio, la recompensa del comportamiento correcto fomenta la participación y la actitud positiva. La gamificación es el camino a seguir en este proceso, ya que permite ofrecer regalos (por ejemplo, bolsas para laptops o buzos con la marca) para los mejores.
Un proceso continuo
La cultura de ciberseguridad no se implementa con uno o dos seminarios o reuniones, sino que constituye un proceso continuo, que incluye un ciclo de aplicación, medición, análisis y revisión.
Además, las amenazas evolucionan constantemente, por lo que hay que volver a delinear las estrategias en base a las nuevas tendencias.
El despliegue debe ser gradual
El error más común es la implementación de todas las políticas de ciberseguridad de una sola vez. “Muchos equipos de seguridad intentan aplicar todas las buenas prácticas juntas en la organización. Es una receta que conduce al desastre: los usuarios se sorprenden por los nuevos inconvenientes, mientras que los equipos de seguridad se sienten abrumados tratando de afinar las nuevas políticas”, manifestó el Dr. Gordon.
No estreses a tus organizaciones, que tus empleados no lo vean como un deber. Para crear una cultura, tu equipo tiene que querer hacerlo; comprender la importancia y estar de tu lado.
Dotar al equipo de las herramientas adecuadas
Para ayudar a tus equipos a interiorizar estos conceptos, es clave contar con herramientas sólidas que faciliten los procesos de seguridad.
InvGate Asset Management dispone de funciones de seguridad informática y cumplimiento de la ciberseguridad. De esta manera, es posible detectar si los activos acatan dichas normas, así como otras necesidades de cumplimiento externas. Además, señala aquellos que requieren una atención especial, rastrea los que ejecutan software no autorizado y comprueba los próximos vencimientos de la garantía.
¿Cómo creó Yahoo una cultura de ciberseguridad?
La cultura de ciberseguridad creada por la organización de ciberseguridad de Yahoo (apodada “los Paranoicos”) es un gran ejemplo que se documentó en el estudio de caso de Harvard Business Review.
La organización reunió a los equipos rojo, de concientización sobre seguridad y de ingeniería del comportamiento, que operaban por separado dentro de la empresa.
El primer paso fue distinguir claramente entre acciones, hábitos y comportamientos. Los hábitos funcionaban como un atajo para las acciones repetidas, mientras que los comportamientos se definían como una combinación de hábitos y acciones dentro de un contexto.
Por ejemplo, el uso de una VPN se consideraba una acción, en tanto la capacitación de los empleados para que pulsen instintivamente un botón para conectarse a una VPN era un hábito. Y el comportamiento, que los trabajadores utilizaran una VPN cada vez que tuvieran que conectarse a los servidores de la empresa.
Luego se definieron los objetivos del comportamiento, es decir, aquello que el equipo deseaba que los empleados hicieran en una situación específica. Un aspecto importante fue asegurarse de que nadie tuviera que medirlos cualitativamente.
El siguiente paso fue conocer la línea de base y empezar a aplicar medidas para cambiarla. Por ejemplo, el equipo reconoció que los empleados eran vulnerables a ataques de phishing a través de páginas de inicio de sesión falsas.
Para tal caso, se identificaron tres métricas:
- Tasa de susceptibilidad: número de empleados que introdujeron credenciales y no informaron de los correos electrónicos, dividido por el número total de emails enviados.
- Tasa de captura de credenciales: cantidad de trabajadores que compartieron/introdujeron sus credenciales con la página falsa y no informaron del enlace, dividido por el número de personas que llegaron a la página de phishing.
- Tasa de denuncia: las personas que denunciaron los correos electrónicos, dividido el número total de correos electrónicos enviados.
Como ves, las métricas son objetivas y fácilmente medibles. El equipo consiguió cambios significativos en estos parámetros mediante cuidadosas tareas. En concreto, instaló gestores de contraseñas que garantizaban que los empleados sólo introducían sus passwords en el dominio real y no en sitios falsos. Y ofrecieron regalos de la empresa, como camisetas y gorras, a quienes utilizaban el gestor de contraseñas. También creó paneles para los directivos, que mostraban el rendimiento del equipo y lo comparaban con otros.
A través de la competencia, las recompensas y el reconocimiento, el equipo generó cambios en toda la organización y modificó el comportamiento de sus empleados, creando una sólida cultura de ciberseguridad.
Resumen
Los rápidos cambios en el panorama mundial subrayan la importancia de implementar medidas de ciberseguridad sólidas. En concreto, los modelos de trabajo remotos e híbridos expusieron las vulnerabilidades de los sistemas e impulsaron el aumento de los ciberataques. Como resultado, los profesionales en la materia reconocieron que la tecnología por sí sola no bastaba para salvaguardar la organización.
En este contexto, resulta crucial crear una cultura de ciberseguridad, en la que cada empleado comprenda la importancia de proteger los activos digitales y participe activamente en el mantenimiento de la seguridad. Al fomentar esta cultura, las organizaciones se adaptarán mejor al cambiante panorama de las ciberamenazas y garantizarán su resistencia a largo plazo.
La ciberseguridad no sólo es una cuestión de soluciones tecnológicas; sino una responsabilidad colectiva que comienza con el cultivo de la mentalidad correcta en todos los niveles de la organización.
Pero todo esto va acompañado de una robusta herramienta de ITAM que permite agilizar las medidas de ciberseguridad. InvGate Asset Management puede resultar la adecuada para tal propósito. Solicita la prueba gratuita de 30 días para comprobar sus funciones en la Gestión de la Seguridad.
Preguntas frecuentes
¿Cuáles son las estrategias clave para construir una cultura de ciberseguridad?
Algunas estrategias clave son:
- Obtener el apoyo del CISO y de la dirección ejecutiva.
- Aumentar la concientización sobre la ciberseguridad a través de la formación continua.
- Recompensar el buen comportamiento y aplicar la gamificación en lugar de los castigos.
- Poner en marcha iniciativas gradualmente evitando aplicar todo a la vez.
- Dotar a los equipos de ciberseguridad de las herramientas y los recursos adecuados.
¿Cómo contribuyen los directivos a crear una cultura de ciberseguridad?
El compromiso de los directivos es crucial para desarrollar y reforzar estrategias eficaces de ciberseguridad, ya que impulsa a los empleados a comprender la importancia de dicha cultura y a participar de la misma.
En definitiva, estos defensores de la ciberseguridad motivan a toda la organización a mejorar sus prácticas en la materia.
¿Por qué es importante concientizar a los empleados sobre la ciberseguridad?
Los empleados que son conscientes del impacto de un incidente y de las medidas adecuadas para evitarlo, tienen más probabilidades de participar activamente en iniciativas de ciberseguridad.
Por lo tanto, la educación sobre las consecuencias de una posible brecha puede cambiar su comportamiento y hacer que estén más dispuestos a adoptar las mejores prácticas de seguridad.
¿Cómo la gamificación y las recompensas ayudan a crear una cultura de ciberseguridad?
La gamificación hace que las iniciativas de ciberseguridad resulten amenas dentro de la cultura de la empresa, a la vez de fomentar la participación. Para reforzar el buen comportamiento, solo es necesario implementar recompensas, como estuches para laptops o buzos con la marca de la empresa.
¿Por qué es importante repetir y mejorar continuamente la cultura de ciberseguridad?
Las amenazas a la ciberseguridad evolucionan constantemente, por lo que las organizaciones deben actualizar sus estrategias para mantener a los empleados preparados.
La cultura de la ciberseguridad no se puede implementar con uno o dos seminarios o reuniones, requiere de un proceso continuo de aplicación, medición, análisis y revisión de las estrategias a lo largo del tiempo.
