A medida que evolucionan los riesgos cibernéticos de una empresa, también debes hacerlo tú. Presentamos 5 consejos para crear una cultura de ciberseguridad que proteja a la empresa y sea significativa para los empleados.
Crear una cultura de ciberseguridad siempre ha sido un elemento importante de la estrategia de una organización en esta materia. Sin embargo, el cambio masivo hacia el trabajo a distancia inducido por COVID-19, seguido del crecimiento de lugares de trabajo híbrido, ha cambiado fundamentalmente el panorama de las amenazas.
Las políticas de ciberseguridad del pasado, e incluso las instituidas al comienzo de la pandemia, deben reevaluarse ante los nuevos retos de ciberseguridad. Hay que identificar los riesgos emergentes, articularlos y asegurarse de que están alineados con la estrategia empresarial.
Porque, cuando cambian los perfiles de riesgo, también debe hacerlo la cultura de ciberseguridad de una organización. Y los comportamientos y la mentalidad necesarios para hacer frente a la evolución de los riesgos de seguridad -la cultura de ciberseguridad de una empresa- deben extenderse a toda la organización.
¿Qué es una cultura de ciberseguridad y por qué es importante?
La cultura de la ciberseguridad debe considerarse como un entorno de trabajo en el que todas las personas están preocupadas por la ciberseguridad y motivadas a mejorarla; las personas entienden por qué la ciberseguridad es importante y se consideran parte de la solución.
Fomentar una cultura de ciberseguridad también garantiza que los empleados sean conscientes de cuáles son o podrían ser los riesgos y entiendan cómo responder a ellos o denunciarlos. Esta concienciación, a su vez, ayuda a proteger mejor a una organización al crear una sólida línea de defensa contra los ciberataques y las posibles violaciones de datos.
Desafíos
La falta de un presupuesto adecuado para la seguridad es uno de los principales desafíos que tiene toda organización. Otro es la creación de una cultura de ciberseguridad sin el apoyo de los ejecutivos de la empresa.
La seguridad tiene mala reputación. La “marca de seguridad” es un elemento importante en la creación de una cultura de ciberseguridad. El que no siempre sean respetados o comprendidos es un obstáculo que los equipos de seguridad deben superar trabajando para cambiar la actitud de la gente hacia la seguridad.
El máximo responsable de seguridad de la organización debe estar a la altura del desafío. Encontrar un CISO transformador que pueda liderar y construir una cultura de ciberseguridad -y convertirla en una prioridad- será un reto para muchas empresas.
5 mejores prácticas para crear la cultura
He aquí una visión general de las cinco mejores prácticas clave para ayudar a los profesionales de la seguridad de la información a crear una cultura de ciberseguridad en toda la organización.
1. Invertir en las herramientas de seguridad adecuadas
Las herramientas de seguridad son parte integrante de una defensa en capas, pero no son la panacea contra los ciberataques. Se aconseja contar con un complemento bien pensado de herramientas de ciberseguridad que puedan aumentar el “aspecto humano” de la ciberseguridad.
Invertir en soluciones SIEM que utilicen técnicas de aprendizaje automático, por ejemplo, puede ayudar al personal del centro de operaciones de seguridad a aumentar sus capacidades de detección y respuesta, mejorar la relación señal-ruido y permitir a los analistas de seguridad centrarse en las amenazas que importan.
Sin embargo, es importante recordar que, a medida que evoluciona la tecnología y aumentan los ciberataques, la escasez de competencias en ciberseguridad no hace sino empeorar. Es imperativo contratar, formar y retener a cibertalentos de muy diversa procedencia para mantener la ventaja.
2. Hacer que la seguridad sea accesible
Se debe lograr que los responsables de seguridad empiecen a trabajar con la alta dirección. Los profesionales de la seguridad deben comprender la estrategia empresarial y alinearse con ella, identificar los riesgos asociados a esa estrategia y comunicarlos adecuadamente en términos empresariales.
Una vez que los directivos entienden, en términos comprensibles, cuál es el riesgo y qué se les pide, son capaces de seguir adelante.
3. Promover la ciberhigiene de punta a cabo
Para generar un impacto real, las buenas prácticas de ciberseguridad deben venir del nivel C y filtrarse a través de tu organización. Si tu director general está demostrando prácticas de ciberseguridad positivas y dando un buen ejemplo al resto de la empresa, es probable que el resto del equipo siga su ejemplo.
Se debe hacer de la ciberseguridad una prioridad y marcar la pauta para el resto de la empresa.
- Animar a tus ejecutivos a participar en cursos de formación sobre ciberseguridad.
- Aplicar las políticas y procesos de seguridad de forma generalizada, independientemente del nivel jerárquico.
- Trabajar con los responsables de las políticas para adaptar los procedimientos según cómo funcionen para los miembros de la junta directiva: si las políticas no funcionan para ellos, probablemente tampoco estén funcionando para niveles inferiores de la organización.
- Partir de la base de que las prácticas tardan en propagarse por toda la empresa: la evolución de la cultura requiere tiempo y esfuerzo.
4. Centrarse en el ser humano
Los equipos de seguridad suelen equiparar erróneamente tener un programa de seguridad “centrado en el ser humano” con impartir una formación de concienciación sobre seguridad que todos los empleados deben realizar.
Hay que empezar por las personas. Esto significa analizar a las partes interesadas, comprendiendo sus comportamientos y retos, y averiguar qué es lo que hay que cambiar y cómo implantar ese cambio. Luego, basándote en eso, creas tus iniciativas de cultura de seguridad para cada una de esas comunidades de partes interesadas.
5. Trabajar en una estrategia de confianza cero
Estrategias de seguridad como la autenticación multifactor (MFA) y la Confianza Cero se discuten con frecuencia entre los círculos de ciberseguridad como métodos para aumentar los controles de acceso, pero la Confianza Cero ha ido ganando popularidad rápidamente y muchas organizaciones buscan ahora adoptar esta mentalidad.
Una estrategia de Confianza Cero para la ciberseguridad corporativa es un marco que requiere que todos los usuarios sean autenticados, autorizados y validados continuamente antes de que se les conceda acceso a determinados sistemas o datos de la empresa. Esto incluye tanto a los usuarios dentro de la red de la empresa como a los usuarios fuera de ella, ya que entramos en una fase permanente de trabajo híbrido.
Imponer este modelo en toda la empresa significa que todos sus miembros se enfrentan a las mismas medidas de seguridad, lo que deja poco margen para cometer errores que podrían costarte el negocio.
Conclusión
Muy pocas organizaciones hacen hincapié en la importancia de la cultura de la seguridad, lo que puede dar lugar a una toma de decisiones poco educada, a sistemas comprometidos y a violaciones cibernéticas.
Desarrollar una cultura de ciberseguridad es un proceso continuo y requiere la participación de todos los niveles de una organización.
Al implantar prácticas de ciberseguridad adecuadas en tu lugar de trabajo, no sólo se formará una cultura de seguridad con el tiempo, sino que su organización estará mejor protegida contra las ciberamenazas.
