La tecnología no puede proteger a las organizaciones cuando se integra y utiliza incorrectamente. En este contexto, la mayoría de las brechas de seguridad en las organizaciones son resultado del error humano, en muchos casos se debe a la falta de concientización y formación en ciberseguridad.
Una cultura de ciberseguridad en las empresas ayuda a que las recomendaciones de seguridad de la información sean parte integral del trabajo, hábitos y conducta de los empleados, incorporándolas en sus acciones diarias. La cultura de ciberseguridad puede ser moldeada, adaptada y transformada de acuerdo a las propias realidades, cultura y valores de cada empresa.
De esta manera, los auténticos protagonistas de la cultura de la ciberseguridad son los empleados. Son estos quienes utilizan y gestionan los dispositivos tecnológicos de la empresa, y están en contacto directo con la información, el activo más valioso.
La formación es el primer paso para crear una cultura de ciberseguridad sólida. Todos los empleados deben tomar conciencia de esta disciplina y aplicar las herramientas adecuadas para prevenir los ataques informáticos. Cabe señalar que la cultura de la ciberseguridad no es algo que se puede implementar con una simple sesión formativa. Se trata de un proceso continuo que requiere de medición y análisis.
Se consideran cinco niveles de cultura de ciberseguridad:
-Nivel 1: Cultura inexistente
No existe una cultura en ciberseguridad dentro de la empresa. Los empleados no son conscientes de ser el objetivo de los posibles ciberataques, ni que sus acciones tienen impacto directo en la seguridad de la organización. Son potenciales víctimas de fraudes cibernéticos y representan un vector de entrada real. Tampoco conocen ni entienden las políticas de seguridad de la organización.
-Nivel 2: Cultura inicial
Existe una cierta cultura de ciberseguridad donde se ha realizado un primer acercamiento. También, algunas acciones aisladas de formación y concientización, pero el programa está diseñado principalmente para cumplir con los requisitos específicos de cumplimiento o auditoría. La capacitación se limita a una base anual. Los empleados no están seguros de las políticas de seguridad de la organización y/o su papel en la protección de los activos de su organización.
-Nivel 3: Cultura en desarrollo
Hay un plan y una estrategia de concientización y capacitación en seguridad en los que se identifican grupos y temáticas específicas. La organización sabe identificar los temas con mayor necesidad e impacto para el objetivo de seguridad y se centra en estos elementos clave. El programa de formación va más allá de la formación anual e incluye algún refuerzo a lo largo del año. El contenido se comunica, o al menos se pretende comunicar, de una manera atractiva y positiva que fomente el cambio de comportamiento en el trabajo y en el hogar. Como resultado, la gente entiende y sigue las políticas de seguridad de la organización y reconoce, previene y reporta activamente los incidentes de seguridad.
-Nivel 4: Cultura avanzada
El programa cuenta con procesos, recursos y apoyo de la Alta Dirección, necesarios para un ciclo de vida a largo plazo, incluyendo (como mínimo) una revisión y actualización anual del programa. Como resultado, el programa es una parte establecida de la cultura de la organización y es actual y atractivo. El programa ha ido más allá de cambiar el comportamiento y está cambiando las creencias, actitudes y percepciones de seguridad de las personas.
-Nivel 5: Forma de vida
El programa tiene un marco sólido de métricas alineado con la misión de la organización de hacer seguimiento del progreso y medir el impacto. Como resultado, el programa está mejorando continuamente y es capaz de demostrar el retorno de la inversión. Esta etapa refuerza que, para tener un programa verdaderamente maduro, se deben tener métricas para demostrar el éxito.
Desafíos del futuro
Uno de los principales desafíos de futuro al que deben enfrentarse las compañías en el ámbito de la ciberseguridad es el espionaje, entre otros ciberataques que existen. Afectará en mayor medida a los sectores de alta tecnología y, según la previsión de los expertos, en la próxima década podría tener lugar una guerra estratégica con gobiernos y empresas implicados.
Los ataques a la cadena de suministro también serán cada vez más comunes. El principal reto será prestar mayor atención a la seguridad de los proveedores y garantizar una adecuada higiene de seguridad.