Las personas son el nuevo perímetro y uno de los principales objetivos de los ciberdelincuentes. Basta considerar los resultados del “Informe sobre investigaciones de fugas de datos de 2022” de Verizon, que reveló que en el 82 % de las fugas de datos interviene el factor humano.
Para reducir los riesgos asociados a las personas, la mayoría de las organizaciones han invertido en la formación de los usuarios. Algunas incluso han ido más allá del cumplimiento o formación y han avanzado hacia la elaboración de una cultura de ciberseguridad que motiva y capacita a los usuarios a proteger sus organizaciones. Sin embargo, el concepto de “cultura de ciberseguridad” puede ser nuevo o ambiguo para mucha gente.
En este blog, definimos lo que significa y analizamos cómo las organizaciones pueden utilizar un modelo meditado para ayudar a fortalecer sus programas de formación para concienciar en materia de seguridad e impulsar todavía más el cambio de comportamiento.
¿Qué es una cultura de ciberseguridad y por qué es tan importante?
Proofpoint define la ciberseguridad como el conjunto de “creencias, valores y actitudes que llevan a los empleados a proteger y defender su organización frente a ciberataques”. Se trata de un importante factor de desarrollo de comportamientos de seguridad positivos por dos razones principales:
- Mejora el nivel de seguridad general de su organización cuando los empleados se sienten responsables de ayudar a prevenir incidentes. La seguridad es responsabilidad de todos; cuando los empleados lo creen de verdad aumenta la vigilancia y la motivación para actuar de manera adecuada.
- Ayuda a reducir el riesgo asociado a las personas. Una cultura de ciberseguridad robusta induce cambios de comportamiento y ayuda a los usuarios a crear hábitos duraderos que amplíen la protección a su vida personal. Esto significa que los usuarios ya contarán con los hábitos necesarios para desbaratar los intentos maliciosos de los ciberdelincuentes cuando se enfrenten con amenazas fuera de las horas de oficina, en dispositivos personales o cuando menos las esperen.
Cómo realizar la evaluación
En Proofpoint, consideramos la cultura de ciberseguridad una combinación de tres factores principales:
- Responsabilidad: ¿sienten los empleados que ellos y sus compañeros son responsables de actuar para impedir las amenazas de ciberseguridad?
- Importancia: ¿creen los empleados que una amenaza podría afectarles personalmente?
- Empoderamiento: ¿se sienten los empleados empoderados para identificar y denunciar los comportamientos sospechosos?
Figura 1. Las tres dimensiones de una cultura de seguridad.
Para estar motivados para actuar (es decir, ayudar a proteger la organización), los usuarios deben estar convencidos de que las amenazas y los riesgos para la organización son problemas que podrían afectarles personalmente. Deben reconocer también la importancia de proteger la organización. Además, necesitan contar con los conocimientos y herramientas adecuadas para identificar las amenazas y sentirse responsables de poner su granito de arena para impedir que los ciberataques paralicen o dañen la organización.
Para diagnosticar la probabilidad de que un empleado tenga tanto la capacidad como la motivación para impedir un ataque contra su organización, Proofpoint ha creado una encuesta sobre cultura de ciberseguridad con el fin de evaluar las tres dimensiones mencionadas anteriormente. Esta concisa encuesta puede ayudar a los equipos de seguridad a medir y cuantificar fácilmente el estado actual de la cultura de seguridad de su organización. También les capacita para empoderar a las personas a través de la adaptación de su mensaje y formación.
Proofpoint ha seguido los siguientes principios para diseñar la encuesta:
- Pragmatismo: resultados claramente interpretables
- Brevedad: puede realizarse en un tiempo razonable
- Pertinencia: cada pregunta aborda únicamente una sola idea
- Claridad: todas las preguntas son sencillas y sin tecnicismos
- Fiabilidad: ofrece los mismos resultados si se realiza en condiciones similares
- Validez: mide exactamente lo que busca medir
- Imparcialidad: minimiza los sesgos de respuesta
Cuando realice una evaluación de la cultura, asegúrese de que es breve y simple, de manera que los usuarios se vean en la obligación de responder aun teniendo tantas otras tareas de las que ocuparse. Por último, decida la frecuencia de administración con antelación para que pueda pensar la mejor forma de desplegar su evaluación, obtener puntos de datos regulares y modificar su programa en función de los resultados recibidos.
¿Cómo ayudan las evaluaciones de cultura a reforzar los programas de concienciación en materia de seguridad?
Las evaluaciones de cultura son necesarias para tomar el pulso de la opinión de los usuarios y planificar futuras iniciativas que tengan un impacto en ellos. Mientras que las evaluaciones de conocimientos miden lo que los usuarios saben y las simulaciones de amenazas como las de phishing lo que los usuarios hacen, las evaluaciones de la cultura ofrecen una manera eficaz de medir lo que los usuarios piensan.
Saber lo que piensan los usuarios puede ayudar mucho a los equipos de ciberseguridad a determinar los cambios en los mensajes o en las asignaciones de formación que deberían hacer en función de los distintos grupos de usuarios. Recuerde que una cultura de ciberseguridad robusta depende de la inversión y motivación de los usuarios, lo que tiene un impacto directo en su comportamiento a la hora de enfrentarse a amenazas.
Figura 2. Las evaluaciones de cultura cierran las brechas en los componentes de los programas de seguridad eficaces.
Cómo instaurar una cultura de ciberseguridad más robusta en la actualidad
Es fundamental para las organizaciones contar con programas de concienciación en seguridad multifuncionales que tengan en cuenta lo que saben los usuarios, las decisiones que toman en el mundo real y lo que piensan. Cómo se sienten y piensan los usuarios sobre el papel que juegan en la concienciación en seguridad puede modificar el impacto y ayudar a reducir los riesgos para las organizaciones, y las evaluaciones de la cultura pueden ayudar.
Para obtener más ideas sobre lo que hay que tener en cuenta a la hora de fortalecer su cultura de concienciación en seguridad, vea este webinar sobre evaluación de la cultura del Dr. Bob Hausmann, arquitecto de aprendizaje y evaluaciones de Proofpoint.