Pasos para instaurar una cultura de ciberseguridad en la empresa
- Seguridad
Un informe publicado recientemente apuntó que cerca de la mitad de las brechas en los sistemas de datos notificadas por ejecutivos senior fueron ocasionadas por pérdidas accidentales o errores humanos. Que los empleados no cuiden más la ciberseguridad se debe a que las compañías no han instaurado una cultura interna al respecto.
En la mayoría de ciberataques realizados vía phishing, malware, ransomware o mediante una brecha de los sistemas que aseguran los datos, siempre hay una parte en la que puede identificarse la implicación de un usuario, que, ya sea de forma maliciosa, negligente o involuntaria, hizo clic en ese enlace, abrió ese documento adjunto, visitó esa página web o realizó cualquier otra acción que facilitó al cibercriminal el acceso que necesitaba para ejecutar sus malévolas intenciones.
Las empresas han de empezar a admitir que sus empleados son una pieza clave dentro del sistema defensivo de su organización. Estos rara vez sucumben de forma consciente a un ciberataque, pero la mayoría provoca brechas de las defensas corporativas a causa de su ignorancia o negligencia. En este abanico de opciones se incluyen los defectos a la hora de seguir protocolos de seguridad, incluido el extravío de dispositivos de la empresa que contienen datos sensibles para la compañía. Así, un informe publicado recientemente apuntó que el 47% de las brechas en los sistemas de datos notificadas por ejecutivos senior (CEO y CTO) fueron ocasionadas por pérdidas accidentales o errores humanos.
¿Por qué los empleados no cuidan más la ciberseguridad? Con frecuencia esta dejadez responde a una simple razón: las compañías no han instaurado una cultura interna al respecto. En consecuencia, a sus equipos les traerá sin cuidado la ciberseguridad al no haberles incitado a considerarla parte de su trabajo. Así las cosas, Logicalis muestra ocho pasos relativamente sencillos que ayudan a definir una cultura de ciberseguridad dentro de la empresa:
Advertir a los trabajadores. La mayoría no estudian las metodologías que se emplean en los ciberataques. Necesitan conocer que la amenaza existe y que ellos suelen ser un objetivo predilecto para los ciberdelincuentes.
Comunicar las expectativas. Desde el primer día de trabajo, los empleados han de comprender que la empresa necesita que ejerzan cierto nivel de vigilancia frente a posibles ciberamenazas. En ese sentido es importante que los empleados comprendan que pueden estar en situación de riesgo, tanto en su casa como en la oficina, y que sus acciones pueden marcar la diferencia en materia de seguridad con independencia de dónde estén trabajando.
Entrenamiento y evaluación. Se deben Implementar programas de formación para concienciar a la plantilla en materia de seguridad y realizar incluso un ejercicio de “simulacro”, haciendo que un empleado o todo un equipo sean víctimas de un ataque orquestado por el departamento de TI o por un servicio contratado externamente. A posteriori, el equipo debería revisar conjuntamente lo sucedido y aprender la lección correspondiente. Esta clase de entrenamiento en materia de seguridad podría continuar a lo largo del año, extendiéndose en la organización a todos los niveles e incluyendo partes específicas adecuadas al trabajo de cada departamento.
Crear un plan formal. Los equipos de TI deben desarrollar un programa formal en materia de ciberseguridad debidamente documentado, y actualizarlo con frecuencia para incluir en él información sobre nuevos vectores de ataque y otros riesgos.
Señalar la importancia de la “ciber-higiene”. Los expertos en TI más experimentados deben ayudar a los trabajadores a comprender la importancia de mantener la ciberseguridad tanto en el trabajo como en casa, una cuestión clave debido al aumento de la interconectividad entre herramientas empresariales y su manejo por medio de dispositivos móviles manuales.
Nombrar encargados de mantener la ciberseguridad. Los ejecutivos de TI deben designar a un encargado de ciberseguridad en cada departamento, el cual podría recibir más formación y ayudar a los CTO y CIO a mantener a los empleados bien preparados y motivados.
Conseguir el compromiso de la dirección. El CTO ó CIO debe informar al resto del equipo o comité ejecutivo sobre las ramificaciones que puede tener una posible brecha de seguridad y solicitar su opinión sobre el plan de seguridad cibernética.
Recompensar a los empleados. Reconozca y recompense a los usuarios que identifiquen correos electrónicos maliciosos y comparta sus historias sobre cómo los descubrieron y lo que hicieron. Igualmente, empatice con los usuarios que cometen errores, pero asegúrese de que sepan qué hacer en el futuro.