La concienciación sobre ciberseguridad debe integrarse en la estrategia empresarial

La ciberseguridad no es, para la mayoría de empresas y organizaciones, la finalidad en sí de su actividad e incluso, de su existencia. No obstante, a estas alturas, ya no hay ninguna duda de que la ciberseguridad se ha convertido en un aspecto crítico para cualquier organización.

Como no es la finalidad, pero sí es necesaria y crítica, se hace imprescindible que tanto la empresa como las personas que la integren tengan interiorizada una cultura de ciberseguridad. Esto implica que las actividades de concienciación sobre ciberseguridad deben ser diseñadas de manera estratégica, considerando que las organizaciones deben priorizar su enfoque en sus operaciones centrales mientras integran la seguridad como un valor añadido.

Para empezar, es esencial que la concienciación sobre ciberseguridad se aborde de forma pragmática.

Gerard Marín, NTT DATA.

En lugar de saturar a los empleados con información técnica compleja, las actividades deben ser accesibles y relevantes para sus funciones diarias. Por ejemplo, se puede realizar talleres breves que se enfoquen en cómo aplicar prácticas seguras en sus tareas cotidianas, como el manejo de información sensible o el uso de contraseñas robustas.

Además, las actividades de concienciación deben ser interactivas y atractivas. Utilizar metodologías como la gamificación, donde los empleados participan en juegos o simulaciones relacionados con la ciberseguridad, puede ser muy efectivo.

Por ejemplo, una empresa puede organizar un "escape room" virtual, en el cual los equipos deban resolver acertijos de ciberseguridad para "escapar" de un entorno simulado. Este tipo de actividad no solo es entretenida, sino que también promueve el trabajo en equipo y refuerza el aprendizaje práctico.

También es fundamental que la alta dirección participe y respalde estas iniciativas. Cuando los líderes de la organización muestran su compromiso con la ciberseguridad, los empleados son más propensos a tomar en serio las actividades de concienciación. El dicho “los jóvenes cierran las orejas a los consejos y abren los ojos a los ejemplos” también se puede aplicar a los adultos.

Las comunicaciones regulares sobre la importancia de la ciberseguridad, acompañadas de ejemplos concretos, incluso de la propia organización, pueden aumentar la percepción de riesgo y la necesidad de actuar.

La concienciación debe ser continua, no un evento único. Implementar un programa de formación recurrente, en el que se aborden diferentes aspectos de la ciberseguridad a lo largo del año ayudará a mantener a los empleados informados y preparados ante nuevas amenazas.

Finalmente, la medición de la efectividad de estas actividades es crucial. Realizar encuestas o evaluar el desempeño de los empleados en simulaciones de seguridad permitirá ajustar los programas según sea necesario y demostrar el impacto de las iniciativas de concienciación en el entorno laboral.

En conclusión, aunque la ciberseguridad no sea el core business de una organización, es esencial que las actividades de concienciación se integren de manera efectiva en la cultura corporativa. Al adoptar un enfoque práctico, interactivo y continuo, las organizaciones pueden fortalecer la seguridad sin desviar su atención de sus objetivos principales.

Gerard Marín Raventos es consultor de Ciberseguridad en NTT DATA. Analista de inteligencia y consultor de seguridad, está enfocado en la creación de conocimiento para la toma de decisiones más objetivas. Ha diseñado, creado y dirigido unidades de inteligencia internas en diversas organizaciones. Cuenta con casi 20 años de experiencia, y se ha desempeñado como director de seguridad y profesor en LISA Institute Security Education. Es graduado en Prevención y Seguridad Integral y Posgraduado en Gestión y Derecho de la Seguridad por EPSI-UAB, con una maestría en Gestión de Riesgos (UAB) y otra en Análisis de Inteligencia (URJC).