Por Walter Montenegro, gerente de ciberseguridad para Cisco Chile
La proliferación de ataques, la multiplicación de riesgos y las amenazas en cada rincón digital que ocupamos hacen de la ciberseguridad un tema aún sin un abordaje simple. Y es que, pese a las enormes inversiones, políticas y legislaciones, los delincuentes digitales siempre encuentran la forma de entrar y vulnerar sistemas.
De hecho, hay algo claro: tarde o temprano, te atacarán. Ahora, el desafío, además de intentar controlar las consecuencias y disminuir la escala, es hacerle más difícil el trabajo al ciberdelincuente. Por ello, organizaciones de todo el mundo intentan transmitir este mensaje: necesitamos una sólida cultura de seguridad en el lugar de trabajo.
Iniciar con un enfoque humano es clave. Se debe reforzar una serie de comportamientos medibles y observables con opiniones compartidas y acciones creadas a través del consenso de los participantes. Es decir, fomentar una cultura de empleados en la que todos participen y tomen mejores medidas para una infraestructura TI más segura.
En muchos niveles, las personas pueden ejercer una influencia excesiva en el éxito o el fracaso de cualquier programa de seguridad. El desafío, entonces, consiste en obtener el consenso y aceptación más amplia posible, para que todos se muevan en una dirección segura y positiva.
Desconexión y mala comunicación
Es muy común darse cuenta de que una de las falencias de las organizaciones y empresas es que de la ciberseguridad solo se preocupa el área TI. Es decir, convive la desarticulación y poca integración entre las áreas de una compañía.
Esto se traduce en que los roles y las expectativas entre los ingenieros de seguridad y otros colaboradores son muy diferentes. Existen varios riesgos, pero para un ingeniero de seguridad, uno de los más fáciles de medir e identificar es el phishing.
Con eso, para muchos ingenieros de seguridad, construir una cultura de seguridad básicamente significa prevenir ataques de phishing, administrar las contraseñas o realizar una autenticación multifactor (MFA). Pero es mucho más que eso.
Es complejo salir del lugar de un especialista y ver cómo piensan la seguridad los colaboradores. Además, muchas empresas y organizaciones no hacen un gran trabajo para llegar a las personas, haciéndoles saber por qué es importante para ellos y para el negocio crear una cultura en torno a la ciberseguridad.
Después de capacitaciones repetitivas y notificaciones genéricas por correo electrónico, los empleados comienzan a preguntarse: ¿Por qué la ciberseguridad debería ser mi trabajo?
Hazlo personal
Es por eso que el mejor enfoque para mantener a las personas involucradas y crear una cultura de seguridad es personalizar su experiencia. La capacitación en ciberseguridad a menudo no es personalizada y no se siente relevante. Un paso esencial en la dirección correcta es cambiar la forma en que enseñamos.
Es por eso que cada vez que una organización intenta crear módulos y capacitación en ciberseguridad en términos simples, muchos empleados del lado receptor sienten que la capacitación es infantil o que les estamos hablando mal.
El futuro de la ciberseguridad está impulsado por las personas. Por eso es tan importante que nuestro enfoque de una cultura y una educación seguras llegue a las personas a nivel personal. Necesitan poder ver su propia historia incrustada en nuestra cultura. Hacemos que sea relevante para ellos.
Por esto, el mensaje es claro: personaliza la experiencia, empodera a las personas con el conocimiento que adquirieron y comparte el valor de la capacitación para que tu negocio cuente con mayor ciberseguridad.
