La mayoría de empresas dependen de un área de TI que sea estable y segura, la ciberseguridad no es algo que sólo deba preocupar al personal de TI. Un líder empresarial con visión de futuro debe gestionar los riesgos cibernéticos en igualdad de condiciones con todos los demás riesgos empresariales. Incluso fue reconocido en el World Economic Forum de este año: El Informe Forum’s Global Risk Report reveló que los ciberataques terminaron entre los cinco riesgos globales más importantes del foro en términos de probabilidad por primera vez desde 2014.

Además, si observa el informe de Verizon Data Breach Investigations de este año (es necesario registrarse), verá que los empleados con derechos de acceso legítimos son la segunda razón más frecuente de una violación de seguridad, ya sea por un error humano o por un ataque, ya que los atacantes buscan un punto vulnerable más débil como los empleados con acceso a información sensible.

Para garantizar que los riesgos cibernéticos se abordan correctamente en su empresa, debe cambiar la mentalidad de sus empleados. Esto puede hacerse construyendo una cultura que valore la ciberseguridad. En este artículo, se le explicara qué pasos debe tomar para comenzar a establecer una cultura centrada en la seguridad efectiva y qué beneficios obtendrá su negocio como resultado.

Paso N° 1: Identificar las zonas de responsabilidad

Dado que todos los grandes cambios en el curso de una empresa comienzan en el nivel superior, es importante emplear un gobierno cibernético impulsado por el liderazgo. El papel del líder se basa en declaraciones de misión sobre por qué la empresa debe tomarse en serio la seguridad y destacar cómo contribuye al crecimiento de la empresa. Si los empleados saben que el liderazgo corporativo gobierna y fomenta activamente la ciberseguridad y que es una prioridad cultural, es menos probable que se opongan al cambio.

La ciberseguridad es un problema de toda la organización, por lo que la incorporación de una cultura centrada en la seguridad debería ser un esfuerzo conjunto. En primer lugar, se recomienda designar a un miembro de la junta directiva, como CIO o CISO, para informar periódicamente sobre la ciberseguridad al resto de la junta directiva (es decir, qué tan preparada está la empresa para los incidentes y cómo la empresa se beneficiará de nuevas inversiones en ciberseguridad). Los equipos de seguridad de TI ya no pueden permitirse el lujo de permanecer aislados.

Sin embargo, la seguridad de TI no se trata solo del personal de TI. Los miembros de la administración, que normalmente trabaja directamente con los usuarios empresariales, también desempeñan un papel importante, ya que pueden controlar que sus empleados sigan las políticas. Además, el personal de RRHH debe comunicar la nueva cultura a los empleados y supervisar las capacitaciones, mientras que el área legal es responsable de garantizar que las declaraciones culturales se alineen con las regulaciones de cumplimiento y con la legislación nacional e internacional.

Las zonas de responsabilidad pueden variar, pero la clave del éxito es la misma: delegación efectiva y compromiso conjunto.

Paso N° 2: Documentar claramente las Políticas de Seguridad

La Política de Seguridad es una guía para los empleados y una piedra angular de su cultura centrada en la seguridad. Para comunicarlo, sus equipos deben presentar dos documentos. La primera es la Política de Seguridad Oficial preparada por el área de TI que cada empleado debe firmar. Identifica las reglas y procedimientos que deben seguir todas las personas que acceden a los sistemas de la empresa y que utilizan sus activos de TI.

El otro es un documento informal de RRHH que debe tener como objetivo explicar la visión de seguridad de la empresa y destacar por qué es importante seguir las mejores prácticas de seguridad para el crecimiento del negocio y de cada empleado. En nuestra empresa, tenemos la sección de seguridad en el manual del empleado, que cada recién llegado lee el primer día.

Paso N° 3: Capacitar a los empleados

Los seminarios de capacitación en ciberseguridad o charlas de concientización pueden parecer intensivos, pero son eficientes para fomentar una cultura centrada en la seguridad. Según el Informe de Riesgos de TI 2017 de Netwrix, el 37% de los encuestados afirmaron que la capacitación insuficiente del personal es uno de los principales obstáculos para implementar una estrategia de riesgos de TI más eficiente.

Los entrenamientos pueden tener la forma de presentaciones, juegos de rol, etc. (el formato y la frecuencia dependen de la empresa). Pero se recomienda que el contenido difiera según el nivel de responsabilidad y conocimiento de los empleados.

En nuestra empresa, cada recién llegado tiene que visualizar un video de capacitación sobre seguridad y firmar que lo hicieron antes de llegar al trabajo. Notamos que los empleados que realizan tales entrenamientos casi nunca tienen problemas.

También es recomendable prestar atención a la ingeniería social. Si las soluciones de seguridad de correo electrónico fueran una panacea, es dudable que 500 millones de usuarios en todo el mundo fueron blanco de ataques masivos de phishing en el primer trimestre de 2018. La mejor forma de crear conciencia sobre esto es realizar simulaciones de ataques de phishing para que el equipo de TI pueda identificar a los empleados que tienden a confiar en los correos electrónicos maliciosos, enseñarles a identificar los ataques de phishing y explicarles sus acciones futuras.

Paso N° 4: Anime a las personas a informar sobre incidentes

Si imagina que su empresa es un país, los empleados son ciudadanos que pueden contribuir a su prosperidad si son socialmente responsables. Para nutrir la “responsabilidad de seguridad” en su empresa, la gerencia debe alentar a los trabajadores a informar sobre incidentes o solo actividades sospechosas que encuentren y proporcionarles una manera fácil de hacerlo. Normalmente, llegar al personal de TI es suficiente. Por lo tanto, el equipo de TI sabrá si los ataques se dirigen a la empresa y podrán reaccionar más rápido.

Es fantástico que un gerente destaque a los miembros del equipo que ayudaron a detectar un ataque cibernético en un correo electrónico o en una reunión corporativa para animar a otros a que lo hagan en el futuro.

Paso N° 5: Celebre el éxito con su nueva cultura

A largo plazo, una profunda conciencia de seguridad se convertirá en su capa adicional de defensa para prevenir las infracciones de datos y frustrar los ciberataques. Si bien la creación de una cultura de ciberseguridad no requiere mucha inversión financiera, sí requiere mucha voluntad.

También espero que el enfoque centrado en la seguridad para dirigir un negocio se convierta en una nueva tendencia. Con el aumento del número de infracciones y las amenazas cibernéticas cada vez más desagradables, este enfoque no es una retórica vacía, sino la única forma posible de hacer las cosas bien. Las empresas que consigan desarrollar una cultura madura de ciberseguridad serán más valoradas que nunca.

También puedes leer: Microsoft lanza un simulador de ataque de phishing y otras herramientas de seguridad

Agregue un comentario

Su dirección de correo no se hará público. Los campos requeridos están marcados *