Los 7 elementos de una cultura de ciberseguridad empresarial

¿Qué es una cultura de seguridad?

La cultura siempre tiene que ver con la mentalidad. Una cultura de seguridad se trata de cuán fuerte, responsable y resistente es toda la organización contra las amenazas cibernéticas desde un punto de vista humano. Se trata de infundir y potenciar un «firewall humano» contra los ataques digitales.

Elementos de una cultura de seguridad

Una cultura de ciberseguridad es aquella que abarca a toda la organización, a través de equipos, procesos, métricas y herramientas. La incorporación de los siguientes atributos y mejores prácticas en toda una organización es uno de los mayores desafíos que enfrentan los líderes de seguridad, pero hacerlo nunca ha sido más esencial.

1. Liderazgo

El apoyo entre los líderes es fundamental para una cultura de seguridad. Primero, las inversiones financieras y de comportamiento comienzan entre los altos directivos. El CISO puede establecer los términos y los detalles, pero los ejecutivos y la alta dirección de todos los equipos son responsables de establecer un precedente y definir el contexto estratégico de lo que es seguro en sus departamentos. Los líderes también tienen un interés personal aquí, ya que son objetivos comunes para los atacantes.

2. Enlaces interfuncionales

Dada la diversidad de amenazas, puntos finales y vulnerabilidades en cada empresa, parte del mantenimiento de una cultura de seguridad incluye un grupo de trabajo multidisciplinario. Este grupo debería estar dedicado a lo siguiente:

• identificar riesgos y oportunidades;
• unir las prioridades de seguridad entre diferentes grupos, como tecnología de TI/operativa o ventas y soporte;
• analizar áreas de redundancia en herramientas y productos de proveedores; y
• desarrollar salvaguardas específicas para implementar en las funciones, equipos y productos de la empresa.

El grupo de enlaces interfuncionales también es fundamental para identificar las barreras culturales para una mentalidad segura y las mejores prácticas. Por ejemplo, United Airlines desarrolló un equipo de concientización y educación dedicado a incorporar la seguridad en el ADN de la empresa en todas sus operaciones. Los «embajadores cibernéticos» y los «amigos de la seguridad» fueron elegidos entre los distintos equipos para vigilar los problemas de seguridad en sus respectivos departamentos. Tener las perspectivas tanto de los expertos en la materia como de los asociados generales, como United Airlines, es fundamental para asegurarse de que toda la organización esté fortalecida.

3. Educación

Crear conciencia dentro de las organizaciones es la mitad de la batalla para mitigar las ciberamenazas, especialmente porque la ingeniería social y el error humano representan la mayoría de las penetraciones. Los equipos de seguridad y de TI deben diseñar planes de estudio educativos más allá de los PowerPoints, consejos para contraseñas y exámenes anuales de aprobado y reprobado. Desarrollar el contexto para los empleados, siendo transparente sobre los riesgos, implicaciones y efectos en cascada de una mala higiene de seguridad. Ilustre los paisajes de amenazas no solo en activos propietarios, sino también en proveedores externos y herramientas de trabajo remoto. Las capacitaciones, que deben ser continuas y fáciles de comprender, deben incluir lo siguiente:

• ejemplos de la vida real, actualizados para los tiempos;
• procedimientos: por ejemplo, cómo detectar comportamientos sospechosos, informar un problema y contener amenazas;
• mecanismos de retroalimentación para mejorar la cultura en torno a la seguridad, los procesos y las herramientas; y
• oportunidades para el desarrollo de habilidades, como convertirse en un «embajador cibernético».

4. Relevancia de los empleados

Si bien la necesidad es universal, crear conciencia y educar a los empleados no es una solución para todos. Es fundamental que los empleados comprendan sus responsabilidades específicas y cómo sus roles y comportamientos pueden ayudar u obstaculizar la estructura de seguridad general de una organización. Esto incluye el desarrollo de procedimientos de ciberseguridad que se integren en las rutinas y procedimientos de trabajo diario de los empleados, en lugar de solicitar cambios de comportamiento engorrosos o radicales. Considere utilizar herramientas de aprendizaje y estilos de capacitación para personalizar el contenido. Integre escenarios que resonarán, como los pasos a seguir antes de publicar el código para los desarrolladores; resoluciones de problemas pertinentes para los equipos de soporte; y áreas que superan los estándares de ventas de la industria.

5. Actitudes y comportamientos

La cultura de una organización se trata de cómo se sienten las personas, lo que incluye creencias, suposiciones y compromiso general con la empresa y sus valores percibidos. Parte de esto se trata de hacer que los empleados se sientan cómodos, no estúpidos, si cometen un error y confiados, no en pánico, cuando ocurre un incidente. En pocas palabras, los empleados deben sentirse positivos acerca de contribuir a la resiliencia de la ciberseguridad de la empresa.

Finning International, un distribuidor de maquinaria pesada, contrató a psicólogos para comprender mejor cómo las personas aprenden sobre seguridad de maneras identificables. La compañía ofreció varias modalidades de capacitación para apoyar diferentes estilos de aprendizaje, por ejemplo, mediante el uso de ludificación, videos cortos y discusiones cara a cara. El equipo de comunicaciones de la empresa también adaptó contenido para empleados en diferentes geografías e idiomas.

6. Ecosistema

Una parte que a menudo se pasa por alto de una cultura de ciberseguridad incluye trabajar fuera de las cuatro paredes de una empresa. Contra lo intuitivo, las amenazas digitales requieren un abrazo cultural de apertura. Por ejemplo, compartir análisis de amenazas entre las partes interesadas competitivas, usar códigos o modelos de fuente abierta e incorporar auditorías y métricas de responsabilidad en las adquisiciones y las asociaciones puede ayudar a mejorar la seguridad.

Rockwell Automation tiene un grupo dedicado al intercambio de información sobre problemas de seguridad, que incluye clientes estratégicos en varios sectores para incorporar perspectivas de afuera hacia adentro. Esto no solo es valioso para la propia cultura de seguridad de la empresa, sino que también es una línea directa para la innovación de productos en nombre de la seguridad.

7. Métricas

Las métricas a menudo se asocian con estadísticas sólidas en seguridad, pero también juegan un papel importante en la cultura más amplia de la empresa. Las métricas son clave para monitorear la efectividad y el valor general de la capacitación. La incorporación de ludificación, concursos o pruebas rápidas en el entrenamiento de seguridad y el post-entrenamiento, por ejemplo, es útil para monitorear qué módulos resonaron y qué conocimientos y comportamientos concretos se atascaron. También son importantes para articular la propuesta de valor al liderazgo para la inversión continua, así como para que los empleados se basen en el progreso logrado. Por ejemplo, los equipos de seguridad y TI podrían intentar vincular métricas con mejoras de productividad, incentivos para los empleados, oportunidades para aprender nuevas habilidades y similares.

Una postura de seguridad sólida requiere una base sólida

Una encuesta reciente de Forbes Insights de más de 200 CISO descubrió que las organizaciones con un enfoque aislado de la seguridad experimentan más efectos negativos que aquellas con enfoques estratégicos para toda la empresa. Los siguientes costos de enfocarse solo en tácticas posteriores son significativos y solo están creciendo:

• costos de incumplimiento (pérdida de ingresos, tiempo de inactividad, reputación);
• afluencia masiva de incidentes en los últimos años;
• tácticas sofisticadas, impulsadas por tecnologías emergentes;
• gran falta de talento en seguridad;
• líderes como objetivos; y
• empleados de primera línea como objetivos.

Con la base de los siete elementos que se tratan aquí, una cultura de seguridad en el lugar de trabajo es la línea de defensa ascendente para una gama cada vez mayor de ataques descendentes.