Los ciberataques no desaparecerán en un futuro próximo. Más bien, deberíamos esperar que esos ataques sólo aumenten en frecuencia. Eso significa que la verdadera pregunta es ¿cómo proporcionan las organizaciones protecciones más efectivas para sus empleados, socios y clientes?
Tenemos que empezar por lo esencial. Un hecho frustrante es que aún las características de seguridad robustas siguen siendo socavadas cuando las organizaciones no realizan lo básico. Por básico me refiero a pasos como la aplicación inmediata de parches a defectos de seguridad conocidos, la administración de contraseñas seguras, la adición de autenticación de dos factores para el acceso a la red y la capacitación de las personas sobre cómo identificar y evitar ataques de phishing.
La buena noticia es que un liderazgo sólido puede abordar esta serie de problemas que se presentan al pasar por alto lo básico. La solución consiste en crear una cultura de seguridad sostenible, independientemente del tamaño de tu organización. Resolver los problemas de ciberseguridad significa impulsar el cambio en la organización. Y los líderes de seguridad no pueden ser impulsores del cambio sin una cultura de seguridad firmemente establecida como base.
Construir una cultura sostenible de seguridad primero
Una cultura de seguridad primero comienza con una comprensión y aceptación claras de que la seguridad es responsabilidad de todos. Desde el empleado más reciente hasta el director de seguridad, una sólida cultura de seguridad significa que todos abrazan el hecho de que tienen un papel que desempeñar en mantener segura a la organización.
Ese papel comienza con la adopción de una concepción de seguridad por parte de todos. Esto significa tomarse el tiempo necesario para considerar las implicaciones de seguridad de cada acción, ya sea para dar a los socios acceso a su red, determinar las características de un nuevo producto o cómo responder a las solicitudes de información por teléfono, correo electrónico o en las redes sociales. En todos y cada uno de los casos, la seguridad debe ser parte de la determinación de cómo te involucras.
Ningún problema de seguridad básico ilustra mejor la necesidad de una cultura de seguridad que el phishing. Un estudio de Cisco estima que hasta el 95% de todas las filtraciones de datos se deben a ataques de phishing exitosos. Sólo mediante la creación de una cultura de seguridad en la que todo el mundo entienda que debe centrarse en la seguridad puede una empresa abordar la amenaza del phishing.
Además, la creación de una cultura de seguridad primero puede abordar la amenaza del phishing. En mi discurso durante el evento anual de inicio del nuevo año fiscal de la empresa, hablé sobre cómo todos en Lenovo podrían ayudar, y mostré dónde se puede acceder a la función de “Informe de phishing” de Outlook que tenemos en nuestros sistemas y que Microsoft ofrece a las empresas. Al facilitar la creación de informes sobre correos electrónicos sospechosos, hemos visto un aumento de diez veces en informes sobre esta amenaza potencial. Aún mejor, menos de 1 de cada 10 correos electrónicos marcados como sospechosos son en realidad correos electrónicos de phishing, lo que significa que nuestros equipos son muy cautelosos, exactamente la cultura que deseas tener en tu empresa.
Constante concientización sobre seguridad
Otro elemento crítico en una cultura de seguridad primero es asegurarse de que todo el mundo entienda que la concientización sobre seguridad es constante. La seguridad es un viaje, no un destino. Para cada nueva característica de seguridad o pieza de software de seguridad, existe una nueva vulnerabilidad que se está desarrollando en algún lugar, por lo que la necesidad de concientización permanece constante.
Sin embargo, esto también significa que los líderes de la cultura de seguridad en tu organización deben comprender que simplemente no puedes intimidar a tus equipos respecto del cumplimiento de la normativa de seguridad, ya que con el tiempo el mensaje perderá significado y finalmente será ignorado. No sólo tiene que haber creatividad en la comunicación sobre seguridad, sino que debes comprender que se cometerán errores. La forma en que reacciones frente a esos errores puede marcar la diferencia entre fortalecer tu cultura o debilitarla inadvertidamente.
Convierte los incidentes de seguridad, siempre que sea posible, en oportunidades de aprendizaje. Asegurarse de que todos los involucrados entiendan lo que salió mal, cuáles fueron las consecuencias para la organización y cómo deben evitarse dichos problemas en el futuro. Si el problema que llevó al error es nuevo, se debe desarrollar y circular capacitación adicional para que el número máximo de personas pueda aprender del incidente.
Una sólida cultura de seguridad primero requiere responsabilidad. Se deben aplicar las políticas de la empresa. Y se esperará de quienes hayan sido capacitados sobre las acciones apropiadas que puedan ponerlas en práctica. Pero es aún más importante celebrar el éxito. Esto puede ser un reto en el ámbito de la seguridad, donde el éxito a menudo significa que no se produjeron problemas. Aún más, para nuestro personal y programas de seguridad más avanzados, nunca queremos llamar la atención sobre cómo estamos protegiendo nuestras organizaciones, para que no demos a los atacantes una ventaja no deseada.
Sin embargo, te invito a celebrar el éxito en seguridad dondequiera que puedas. En la primera línea, eso significa dar las gracias a los empleados que informan de correos electrónicos sospechosos. Y para tus equipos centrados en la seguridad, esto significa proporcionar oportunidades de crecimiento y establecer la seguridad como una trayectoria profesional deseable.
A medida que las amenazas a la seguridad siguen evolucionando, las organizaciones necesitan un sólido conjunto de defensas para detectar posibles ataques y proteger sus sistemas y datos. Al establecer una sólida cultura de seguridad, puedes capacitar a tus empleados para que tomen medidas sencillas, básicas y poderosas para proporcionar a tu organización un importante nivel adicional de defensa frente a los ciberataques.