Las personas son fundamentales en la estructura de seguridad de cualquier organización. En este sentido, es vital fomentar una cultura que integre el componente humano como elemento esencial de la ciberseguridad . Sin embargo, la implantación de esta cultura no es un proceso que se logre de manera inmediata. Requiere un ciclo de mejora continua, cuyos objetivos incluyen la identificación de comportamientos y actitudes en el personal que puedan representar un peligro para la seguridad de la organización, y la puesta en marcha de estrategias pertinentes para reducir dichos riesgos.
Para conseguir estos objetivos, la boutique tecnológica experta en ciberseguridad, BeDisruptive, ha elaborado una lista con cinco consejos para que las empresas puedan alcanzar sus objetivos en el que es uno de los controles más eficientes para evitar y detectar incidentes de seguridad.
La seguridad es cosa de todos
Aunque la responsabilidad principal recae en los propietarios de los activos, el resto del personal juega un papel crucial en la protección de los recursos de la empresa. En el caso de amenazas como el ransomware, los empleados representan la primera línea de defensa. La capacidad de un empleado para identificar un intento de phishing, que a menudo es el precursor de un ataque de ransomware, puede ser un factor decisivo para prevenir un incidente de seguridad mayor. Por ello, es esencial capacitar y educar a los trabajadores para entender que la ciberseguridad es una responsabilidad de toda la organización. Los empleados deben poder identificar situaciones sospechosas y reportarlas a los equipos de gestión de incidentes a través de canales claros, conocidos y ágiles, ya que el tiempo de respuesta es crítico para minimizar el impacto de un incidente.
Establecer un programa de seguridad basado en la mejora continua
Los programas de seguridad deben basarse en la mejora continua. Aunque este proceso requiere una inversión significativa de recursos financieros y humanos, se convierte en una inversión estratégica que impulsa el logro de los objetivos a largo plazo y fortalece la resiliencia organizativa. Después de un incidente de ransomware, por ejemplo, es crucial analizar los eventos y ajustar las políticas y prácticas de seguridad para prevenir futuras infecciones. En este sentido, es aconsejable contar con la orientación de profesionales con experiencia en este campo, ya que estos dispondrán de metodologías, herramientas y programas que permitan una implementación eficiente y se puedan adecuar a las necesidades de cualquier organización de manera eficaz reduciendo tiempos y esfuerzos y, por ende, abaratando costes.
Conseguir el apoyo de la alta dirección
La dirección debe proporcionar los recursos necesarios para este proceso, entendiendo que la inversión en ciberseguridad no es un gasto, sino una medida estratégica para proteger la organización. La métrica ROSI (Retorno de la Inversión en Seguridad de la Información) puede ayudar a ilustrar este punto, demostrando el valor de las prácticas de seguridad robustas para minimizar los riesgos que afectan a la organización. En el caso de un ataque de ransomware, por ejemplo, los costes asociados con la recuperación de los sistemas pueden ser considerablemente mayores que la inversión inicial en medidas de seguridad eficaces. Por lo tanto, la alta dirección tiene un papel vital en garantizar que se priorice y se financie la concienciación en seguridad de la información.
Trabajar de manera continua la concienciación y formación en ciberseguridad
La concienciación y formación en seguridad deben estar basadas en la mejora continua, como todos los procesos que conforman la seguridad de la información. Por tanto, las empresas deben enfocar sus esfuerzos en impulsar cambios en el comportamiento de todas las personas involucradas, adaptando las técnicas de formación a cada público objetivo. Por ejemplo, la concienciación para la alta dirección, que suele enfrentar diferentes tipos de amenazas que los equipos de TI, debería ser diseñada de forma personalizada
Las formaciones deben ser impactantes, entretenidas y promover la competitividad entre los equipos. Existen múltiples formatos que cumplen con estas características, desde la gamificación hasta retos para los equipos técnicos como la captura de la bandera o desafíos de hacking, siempre adecuados al nivel de conocimiento del público objetivo.
Evaluar la concienciación actual y marcar objetivos
La medición es esencial para poder mejorar. Es imprescindible definir objetivos claros, establecer indicadores clave de rendimiento (KPIs) que midan el logro de estos objetivos y, sobre todo, evaluar la eficacia del programa de ciberseguridad a lo largo del tiempo. Un ejemplo práctico podría ser la implementación de una formación sobre phishing: tras la formación, se podría lanzar un simulacro de ataque de phishing a los empleados de la compañía. Si se descubre que un gran número de ellos reporta correctamente el incidente simulado, indicaría que se está en el camino correcto.