Mantener segura una organización es trabajo de todos los colaboradores: los vectores de ataque de entrada, como el phishing, por ejemplo, son aprovechados por atacantes. Esto coloca a los usuarios en la primera línea de defensa y eleva el papel fundamental que desempeñan todas las personas en la seguridad de la organización.
La Alta Dirección en la Ciberseguridad
La alta dirección tiene el desafío de hacer que la organización contribuya al logro de los resultados y aporte en la ejecución de la estrategia. En este sentido, el paradigma tradicional de seguridad empresarial, representado antiguamente por el castillo y el foso, que sugería un límite tecnológico que aislaba y protegía a las personas dentro del castillo ya no es suficiente.
Hoy en día, los usuarios se relacionan cada vez más con el mundo digital fuera de perímetros físicos y de red y al margen de los controles de seguridad corporativos. La mayoría de sus actividades tiene lugar en sitios web externos y redes sociales, en computadoras portátiles en cafeterías y sus hogares, y regularmente en dispositivos personales.
No es suficiente establecer políticas y procedimientos, es necesario involucrar a las personas y lograr que todos en la organización comprendan su aporte individual para proteger el negocio. Para lograrlo de manera efectiva, la alta dirección puede definir una estrategia personalizada de ciberseguridad que se adapte a las necesidades específicas de la organización y defina a las personas como el factor más relevante de la misma.
De hecho, las organizaciones lideradas por CEOs ciber-resilientes logran un 16 % más de crecimiento de ingresos, un 21 % más de reducción de costos y un 19 % mejor balance financiero. Además, estos líderes consiguen reducir entre 2 y 3 veces los costos asociados a los incidentes de ciberseguridad.
Elementos clave de una cultura de Ciberseguridad robusta
Una verdadera cultura de ciberseguridad se construye cuando todos los niveles de la organización están alineados, informados y comprometidos. No se trata solo de tener buenas herramientas, sino de tener buenos hábitos y una mentalidad colectiva de protección.
Las organizaciones que gestionan el rendimiento cibernético con la misma rigurosidad que el rendimiento financiero son las que alcanzan mejores resultados y fortalecen su resiliencia digital. Este enfoque es característico del 60 % de los CEOs ciber-resilientes, en comparación con solo un 33 % entre las organizaciones menos maduras.
Esta debe incluir al menos:
- Compromiso del liderazgo: La ciberseguridad será importante para todos en la medida que sea una prioridad desde la alta dirección. La automatización en ciberseguridad es una buena estrategia para mostrar que se está abordando deforma preventiva y permanente.
- Concienciación y formación continua: El acceso a conocimiento y la recordación continua de buenas prácticas empodera a las personas para tomar mejores desiciones en los momentos críticos, en especial cuando están solos ante una posible amenaza.
- Claridad y usabilidad de las políticas: Documentar de forma sencilla, en lenguaje claro y que esté disponible y fácil de consultar todo lo referente a buenas prácticas y lo que representa riesgo, no solo se trata de establecer límites, es importante crear espacios seguros de colaboración.
- Comunicación abierta y refuerzo positivo: Cuando las personas comunican los errores o incidentes abiertamente entregan información que beneficia las acciones correctivas y preventivas. Establecer canales seguros sin riesgo a represalias promueve la participación.
- Integración con los procesos del negocio: La seguridad debe ser parte del flujo de trabajo, al igual que el entorno de negocios, las amenazas evolucionan y es necesario asegurar que la protección se mantiene vigente con asignación de recursos y es parte de las iniciativas de mejora continua.
Consejos prácticos para directivos: Cómo impulsar la Ciberseguridad
El nuevo panorama digital representa un espacio ilimitado de oportunidades, en paralelo a las amenazas cibernéticas que son cada vez más complejas. Es una realidad que las organizaciones no pueden prevenir todos los ataques maliciosos o las fallas cibernéticas.
El 5 % de los CEOs más resilientes son capaces de detectar, contener y remediar amenazas más rápido que sus pares, y eso les otorga una ventaja competitiva que impacta directamente en los resultados de negocio. Ante esto, la mirada debe estar en aumentar la resiliencia cibernética e idealmente hacerlo en equipo porque la participación de las personas hace que sea posible y sostenible en el tiempo.
Aun cuando las metas y los objetivos estratégicos son diferentes para cada organización, hay un objetivo transversal relacionado con la protección de la prestación de servicios críticos, la confianza de las partes interesadas y los activos principales que sustentan el valor y la posición en el mercado.
Impulsar la ciberseguridad es fundamental para fortalecer esa resiliencia cibernética y la cultura de la organización puede hacer la diferencia, aquí hay algunos consejos prácticos:
- Seguir pensando como líder empresarial: Transformar la ciberseguridad de una función de soporte a una función habilitadora para el negocio requiere una visión más amplia y un conjunto de habilidades de comunicación más sólida. En el escenario competitivo, la ciberseguridad tiene una influencia directa en la reputación, el valor de las acciones, los ingresos, el valor de marca, las relaciones con clientes y la estrategia de comercialización.
- Fomentar las asociaciones internas y externas: El número de las asociaciones crece cada día a medida que se amplía el alcance del riesgo para incluir una variedad de preocupaciones regulatorias y de amenazas de incidentes. El momento de desarrollar dicha asociación es antes de una crisis, no después de una violación de la ciberseguridad y el punto de partida es sumar a todos en la organización.
-
Desarrollar y practicar una higiene cibernética robusta: la implementación efectiva y consistente de una higiene cibernética puede mitigar la mayoría de los ataques cibernéticos. Si bien está más relacionada con aplicar controles y tecnologías de protección, los principios básicos de seguridad siguen siendo elementales y en el momento crítico vuelven a depender de las personas, las cuales seguirán siendo determinantes para desarrollar una sólida postura de ciberseguridad.
- Proteger los activos de misión crítica: No se puede perder de vista que todo esto es para asegurar la continuidad y el éxito del negocio. Las innovaciones que fomentan la movilidad y elevan la competitividad también introducen nuevas complejidades. Es indispensable tener claridad de cuales son estos activos críticos y que prevalezca el "principio del acceso menos privilegiado", además de priorizar la protección, el monitoreo y la gestión de dichos activos.
-
Prevenir, monitorear y responder a las amenazas cibernéticas: Hay que recordar que la pregunta no es si ocurrirá un incidente, sino cuándo y, por lo tanto, qué tan bien lo maneja una empresa es inevitablemente crítico. La preocupación generalizada está en que tecnologías son las mejores y que controles son los más efectivos, si bien esto es muy importante no puede dejarse fuera el efecto multiplicador que tendrá el que la organización se involucre en este desafío.
- Crear y fortalecer una cultura de Ciberseguridad propia: Mantener segura una organización es el trabajo de todos sus integrantes. Al menos el 43% de incidentes están relacionados con las personas, esto coloca a los usuarios como prioridad en la defensa y reconoce el papel fundamental que desempeñan. Las personas quieren participar, el problema es que no tienen claro qué se espera de ellos y no saben cómo pueden hacerlo.
La cultura de Ciberseguridad como agente de cambio
Al integrar la ciberseguridad en el ADN de la organización, se pueden reducir significativamente los riesgos y mejorar la resiliencia ante ciberataques. De hecho, la ciberseguridad puede convertirse en una ventaja competitiva para las organizaciones que la implementan de manera efectiva.
Las siguientes prácticas pueden ayudar a fomentar una cultura más sólida de ciberseguridad:
- Mentener un programa de concienciación (awareness) y capacitación de los usuarios adaptado al contexto empresarial y a los diferentes grupos de usuarios en toda la organización.
- Implementar una entrega optimizada de campañas de concientización aprovechando formas diversas y novedosas para una mejor participación y penetración en toda la organización.
- Incentivar a los empleados a participar en la campaña de concienciación y denunciar actividades sospechosas e incidentes de ciberseguridad.
- Establecer un programa en donde se reconozca el aporte positivo de los más involucrados y se sancione en privado a los principales infractores o reincidentes de acuerdo con el código de conducta de la organización.
- Comunicar oportunamente los objetivos y sus preocupaciones e informar continuamente los resultados, incluyendo lo positivo y las dificultades.
Este cambio cultural no solo protege los activos digitales, sino que también fortalece la confianza de los clientes y socios, lo que puede traducirse en ventajas competitivas.
El éxito de una cultura de Ciberseguridad
Una estrategia de ciberseguridad exitosa y su implementación dependen de la cultura de la organización. La ciberseguridad, la privacidad y la confianza digital se basan en qué tan bien la organización logra integrar la seguridad como parte de su ADN.
La importancia de fomentar un entorno de seguridad centrado en los riesgos hace que sea cada vez más critico que la propiedad compartida de los riesgos y la necesidad de fortalecer la resiliencia cibernética sean parte de la estrategia de negocio.
Los líderes que puedan ir más allá de un nivel táctico y técnico tienen más probabilidades de ganar credibilidad y apoyo entre los responsables de toda la empresa, además de la junta directiva, la alta dirección y las personas.
Inherente a este nuevo rol es el imperativo de ir más allá de hacer cumplir las políticas y normativas para integrarse mejor con el negocio, administrar los riesgos de forma más estratégica y trabajar hacia una cultura de ciberseguridad que diferencia y fortalezca a la organización.