El desarrollo de una fuerte estrategia de ciberseguridad requiere comprender la fuente de las violaciones.
Casi todas las organizaciones confían en operaciones de TI estables y seguras. De esta forma, los riesgos cibernéticos merecen la misma atención cuidadosa que otros tipos de riesgos.
El desarrollo de una fuerte estrategia de ciberseguridad requiere comprender la fuente de las violaciones. El Informe de investigaciones de violación de datos de Verizon revela que los trabajadores con derechos de acceso legítimos son la segunda causa más común de violaciones. La causa de raíz puede ser un error humano o un ataque, puesto que los hackers, generalmente, buscan un punto débil, como las personas de confianza.
Por lo tanto, reducir los riesgos cibernéticos debe incluir la construcción de una cultura que valore la seguridad virtual. Esto requiere cambiar la mentalidad de los trabajadores. En este artículo, hablaremos acerca de algunos pasos que se deben seguir para comenzar a establecer una fuerte cultura de seguridad en la empresa.
¿Qué es una cultura de seguridad?
Una cultura de seguridad es una faceta más amplia de la cultura corporativa, la cual incentiva a los funcionarios a tomar decisiones y cumplir con sus tareas diarias siguiendo las políticas de seguridad de la organización. Una cultura de seguridad involucra más que solamente concientización. Es una mezcla saludable de conocimiento y seguimiento.
Los pasos a seguir pueden servir para aumentar la concientización sobre seguridad y, además, crear una fuerte cultura de ciberseguridad.
Paso 1: Emplee la gobernanza cibernética basada en liderazgo
Como todos los grandes cambios en una organización comienzan a nivel senior, es esencial garantizar que el equipo de liderazgo ejecutivo esté interesado en gobernar y nutrir la ciberseguridad. Además, necesita estar listo para comunicarle el cambio al resto de la empresa.
Los equipos de TI ya no pueden estar aislados. Es necesario explicarle a la alta gerencia por qué la seguridad es tan importante para los negocios y aconsejarle sobre cómo mejorar la cultura de seguridad de la empresa.
Los gerentes de nivel intermedio también desempeñan un papel importante en la promoción de la cultura de seguridad, ya que trabajan directamente con los funcionarios y pueden mostrarles cómo comportarse de manera centrada con respecto a la seguridad.
Primero, los gerentes deben dar el ejemplo y no violar la política de seguridad. Segundo, los gerentes deben tomar la iniciativa de explicar los flujos de trabajo adecuados, si sus funcionarios se comportan mal y representan riesgos para la seguridad de la empresa.
Paso 2: Documente claramente las políticas de seguridad
La política de seguridad es una piedra angular de la cultura de ciberseguridad porque orienta el comportamiento de los funcionarios. Usted debe crear por lo menos dos documentos.
El primero es la política de seguridad oficial. Preparado por el departamento de TI y firmado por todas las partes interesadas, especifica las reglas y los procedimientos que deben seguir todos los que acceden a los sistemas y activos de la empresa.
El otro es un documento informal creado por Recursos Humanos que explica la visión de seguridad de la empresa y destaca por qué seguir las mejores prácticas de seguridad es importante para el crecimiento de los negocios y de todos los funcionarios.
Paso 3: Capacite a los funcionarios
La capacitación en ciberseguridad puede parecer complicada, pero es eficaz para promover una cultura de seguridad. De acuerdo con el Informe de riesgos de TI de Netwrix, el 37% de los participantes afirman que la capacitación insuficiente del equipo era uno de los principales obstáculos en la implementación de una estrategia de riesgo de TI más eficiente.
Hay varios tipos de capacitación disponibles, desde presentaciones tradicionales de PowerPoint, dirigidas por un miembro del equipo de TI, hasta opciones más modernas.
Otra manera interesante de promover un comportamiento enfocado en la seguridad son los juegos de rol o role playing games. Los funcionarios revisan los casos relacionados con la seguridad y deciden cómo resolver ciertos problemas de acuerdo con la política de seguridad.
Los trabajadores aprenden de forma lúdica, más práctica, cómo seguir la política de seguridad y prueban diferentes funciones sin representar riesgo alguno para la organización.
Paso 4: Adapte las capacitaciones
Asegúrese de adaptar el contenido de cada capacitación a los funcionarios que la tomen. Tenga en cuenta el departamento y el grupo, el nivel de responsabilidad, el conocimiento previo, a cuáles datos tienen acceso y cuáles herramientas están usando.
Por ejemplo, las personas que no tienen acceso a los bancos de datos de los clientes no necesitan capacitación sobre cómo trabajar con ellos con seguridad. También puede ser eficaz usar ejemplos de cómo los funcionarios de su empresa han violado las políticas en el pasado y qué sucedió con ellos.
Paso 5: Incentive a las personas a relatar incidentes
Una empresa es como una comunidad en la cual los trabajadores pueden contribuir a su prosperidad, siendo socialmente responsables. Para nutrir la responsabilidad por la seguridad, la gerencia debe incentivar a todo el mundo a denunciar no solo incidentes de pleno derecho, sino también cosas sospechosas que encuentren.
Deben ofrecer una manera sencilla de hacerlo; normalmente, es suficiente entrar en contacto directamente con el departamento de TI. Al involucrar a los funcionarios en los informes, usted identificará los problemas de seguridad más rápidamente y podrá responder también más rápidamente.
Paso 6: Haga la seguridad divertida y atractiva
Por último, haga que sea divertido. Por mucho tiempo, las personas asociaron la seguridad a una aburrida capacitación o a alguien diciendo "no" todo el tiempo. Para consolidar una cultura de seguridad sostenible, genere diversión y compromiso en todas las partes del proceso.
Si tiene una capacitación de seguridad específica y parece aburrida, aprenda a involucrar a su comunidad en eventos, sin tener miedo de reír, gozar y bromear.