Why Building a Security Culture at Your Company Matters and How to Start

Por qué es importante instaurar una cultura de seguridad en su empresa y cómo hacerlo

La ciberseguridad no se limita a la tecnología y a los controles técnicos. Estos aspectos son sin duda importantes, pero el núcleo de su estrategia de ciberseguridad deben ser las personas. De hecho la interacción de las personas con los mensajes de correo electrónico, datos y aplicaciones cloud afecta directamente al nivel de seguridad de su organización.

Dado el panorama de amenazas actual, es más importante que nunca no dejar de lado la dimensión humana de la ciberseguridad. Los ciberdelincuentes siguen atacando a las personas y recurren con frecuencia a la ingeniería social para llevar a cabo sus ataques. Los ataques de ransomware a menudo requieren que un empleado descargue un adjunto malicioso o divulgue sus credenciales para conseguir el acceso inicial a su organización. Según el último informe de Verizon sobre las fugas de datos, el 85 % de las fugas de datos implican la intervención humana y el 61 % la divulgación de credenciales.

Data Breach Report Chart from the 2021 Verizon Data Breach Report

El 85 % implican la intervención humana, n = 4492
El 61 % de las fugas de datos se deben a la divulgación de credenciales, n = 4518

Las personas juegan un papel fundamental en la estrategia de ciberseguridad de su organización (fuente: Informe de Verizon sobre las de fugas de datos de 2021)

La cultura de seguridad: el motor del comportamiento de sus empleados

Una cultura de ciberseguridad sólida puede tener un enorme impacto en el nivel de seguridad de su empresa. ¿Por qué? Porque la cultura condiciona el comportamiento. Por ejemplo, en algunas zonas de Asia, hacer ruido mientras se come es signo de satisfacción, mientras que en muchos países europeos se considera un gesto grosero y está mal visto.

Una cultura que valora la seguridad no hace sino condicionar las actitudes y comportamientos de los empleados. Cuando directivos y empleados están convencidos de que la ciberseguridad es responsabilidad de todos y no solo un trabajo del equipo informático (TI), harán todo lo posible para garantizar la seguridad de la organización. Y lo que es más importante, sus empleados y sus comportamientos orientados a la seguridad se convierten en una sólida línea de defensa.

¿Cómo instaurar una cultura de seguridad en el lugar de trabajo?

Descubra cómo instaurar una cultura de seguridad en su organización. A continuación incluimos algunos consejos para comenzar y reforzar su cultura de seguridad:

  • Conseguir el apoyo de la dirección: aunque todos los integrantes de una organización juegan un papel en la cultura de seguridad, los ejecutivos y directores tiene una mayor influencia por los puestos que ocupan. Los líderes de la empresa a menudo marcan la pauta para el resto de la organización. Si el CEO habla a menudo sobre ciberseguridad y cómo se alinea con los objetivos de la organización en cada reunión de personal, envía el mensaje de que la protección de los datos y los sistemas de la empresa es una prioridad.
  • Identificar los comportamientos de seguridad deseados: si los comportamientos son una manifestación de la cultura, ¿qué comportamientos de seguridad quiere que adopten sus empleados? Defina los comportamientos que busca de forma muy concreta para los empleados. Por ejemplo: “piénselo dos veces antes de hacer clic” o “si ve algo sospechoso, denúncielo”. Una vez identificados los comportamientos deseados, defina los pilares sobre los que articular su programa de formación para concienciar en materia de seguridad.
  • Hacer de la concienciación en seguridad una actividad permanente: una cultura de seguridad robusta no se crea de la noche a la mañana. Y claro está no es el resultado de un único evento, como una formación anual para concienciar en materia de seguridad, sino que es fruto de un esfuerzo sistemático y permanente. Si ofrece formación para concienciar en materia de seguridad una vez al año, considere mejor dividirla en formaciones trimestrales más cortas. Busque además canales de comunicación interna (por ejemplo, tablones de anuncios, boletines de noticias, la intranet de la empresa, etc.) para implicar a sus empleados y motivar la modificación de sus comportamientos.
  • Recompensar los buenos comportamientos de seguridad: felicite a cada empleado que demuestre un buen comportamiento de seguridad. El reconocimiento y valoración de los comportamientos de seguridad deseados inducen al refuerzo positivo y anima a los otros empleados a comportarse de la misma manera. Las recompensas no tienen que ser extravagantes o caras. Sea creativo. Algunas empresas recompensan al empleado que denuncia más mensajes sospechosos durante el trimestre con un trofeo de un pez (“fish” en inglés). Otras regalan a los usuarios que denuncian un mensaje sospechoso una bolsa de galletas saladas con formas de peces.

La cultura de seguridad es un componente esencial de la estrategia de seguridad de cualquier organización. Puede contribuir a generar cambios de comportamiento duraderos que transformen a sus empleados de objetivos a una última y sólida línea de defensa.

Para obtener más información sobre cómo puede instaurar una cultura de ciberseguridad sólida en su organización, participe con nosotros en nuestra serie de eventos virtuales El arte de la instauración de una cultura de seguridad.