Vivimos en un momento donde las empresas buscan la Transformación Digital, donde los líderes incorporan la tecnología de manera estratégica para innovar y crear nuevos modelos de negocio que generen una ventaja competitiva.
En el pasado, antes de la aparición de la nube, la seguridad informática se basaba principalmente en proteger la red corporativa con un firewall y un buen software antivirus, aquí es donde se enfocaban principalmente los profesionales de seguridad informática. Sin embargo, con la adopción de diferentes servicios basados en Cloud Computing el ámbito de acción se ha expandido más allá de la seguridad perimetral.
Es imperativo entender que la seguridad informática se compone de tres componentes claves que son: la tecnología, los procesos y las personas.
Las complejidades y la magnitud de los desafíos actuales de ciberseguridad son desalentadores para muchas organizaciones y no todas cuentan con el talento necesario para cubrir los requerimientos de seguridad. Hoy es necesario conocer como integrar las funcionalidades de seguridad (encriptación, manejo de identidades, etc) de los diferentes proveedores de Cloud Computing, Blockchain, Inteligencia Artificial, que se utilicen en las diversas iniciativas de Transformación Digital dentro de las organizaciones, por lo que la ciberseguridad debe ser un pilar fundamental en todas los proyectos disruptivos, ya que de no brindar la seguridad adecuada, se perderá la confianza ante cualquier eventualidad , lo que atrasará o truncará la tan buscada transformación.
Personas, procesos y tecnología
Lo importante es que aquellos líderes con la responsabilidad principal en ciberseguridad, comuniquen el riesgo de manera efectiva entre sus colegas y hacia toda la empresa.
La Guía de ciberseguridad para líderes en el mundo digital de hoy, publicada recientemente por el Foro Económico Mundial, proporciona una guía práctica para enfrentar los desafíos de ciberseguridad. ¿Es una defensa a prueba de ataques cibernéticos y violaciones de seguridad? No, no hay balas de plata, pero contiene 10 principios básicos para que los líderes empresariales los incorporen a las operaciones diarias de sus organizaciones. La aplicación diligente de estos principios, y hacerlos parte de su cultura corporativa, contribuirá en gran medida a reducir el riesgo y aumentar la resiliencia.
En la actualidad los atacantes se centran mayormente en las personas, ya que los usuarios son el elemento más débil dentro del marco de la Ciberseguridad, de nada sirve tener los mejores procesos y las mejores tecnologías, si las personas no están bien capacitadas para mitigar diferentes ataques, por ejemplo, muchas personas no saben identificar un ataque de Ingeniería Social y mucho menos un intento de Phishing.
El objetivo principal es crear una cultura de ciberseguridad.
Una cultura fuerte de ciberseguridad no se trata de hacer que todos en una organización sean expertos técnicos en las últimas amenazas, sino más bien de tener en cuenta estos elementos esenciales:
- Casi todas las personas en una organización tienen acceso a información que es valiosa para los cibercriminales. Esto podría ser información con valor por derecho propio, como información de identificación personal; o información como credenciales que pueden ser explotadas y utilizadas para excavar en la red corporativa y acceder a otros sistemas críticos.
- Muchas violaciones de datos se manifiestan por malas prácticas, como seleccionar contraseñas débiles o compartir credenciales de inicio de sesión.
- Lo más importante es que la mayor parte de las amenazas cibernéticas actuales logran su objetivo a través del factor humano y se focalizan en vulnerar la seguridad mediante el phishing y la ingeniería social.
Las organizaciones pueden fortalecer su cultura de ciberseguridad al:
- Crear un marco para gestionar el riesgo que pueda ser entendido en toda la organización, incluso por profesionales que no sean ciberseguridad, aplicando las buenas practicas de la industria.
- Asegurarse de que la ciberseguridad es parte del diálogo en los niveles más altos de la organización. Por ejemplo, si el CEO habla sobre la conciencia del phishing, existe una buena posibilidad de que esto se convierta en una prioridad en todos los niveles.
- Crear conciencia de seguridad y nombrar a un líder superior responsable de ejecutar campañas y supervisar la capacitaciones en ciberseguridad. Este persona debe estar capacitado para trabajar con colegas en diversas funciones para poder diseñar programas que aborden las necesidades desde diferentes perspectivas y niveles. La capacitación debe alcanzar a todas las personas de la organización, sin excepción.
- Crear programas de incentivos para recompensar y reforzar el comportamiento positivo de seguridad. Por ejemplo, la capacitación en simulación de phishing se podría hacer más agradable a través de la gamificación y pequeños premios para aquellos que reportan la mayor cantidad de phishing. Muchas empresas tienen un requisito de capacitación anual obligatoria, pero también puede encontrar formas de ofrecer capacitación de seguridad atractiva y de tamaño reducido durante todo el año. Esto se puede entregar a través de divertidos cuestionarios, dibujos animados o episodios web centrados en la seguridad.
- Asegurar que los empleados conozcan el canal correcto para informar rápidamente sobre actividades sospechosas y asegurarse de que esta información sea fácilmente accesible. Aún mejor, se debe proporcionar múltiples canales para la comunicación: una mesa de ayuda de TI, una línea telefónica dedicada, correo electrónico o incluso mensajes de texto y redes sociales.
- Comunicarse efectivamente. Para tener en mente la ciberseguridad, debe comunicarse de manera continua a través de múltiples canales. Los boletines, los blogs, la intranet, incluso hasta comunicación gráfica dentro de los espacios comunes dentro de la oficina, son buenos lugares para promocionar desde un consejo o lema del día sobre seguridad informática.
En cada empresa, cada persona es un elemento vital de la seguridad. Todos tenemos la responsabilidad de seguir aprendiendo, de ser conscientes y apoyar al equipo de ciberseguridad en la implementación de las mejores prácticas.
Blog
