Los ciberataques son tan comunes que aparecen regularmente en las noticias nacionales. Hay muchas razones que explican el auge de las estafas y la ciberdelincuencia. Aun así, la manipulación y la ingeniería social de nuestros empleados y del software que utilizan es un punto de partida típico de estos ataques.
Organizaciones de todo el mundo trabajan en la creación de una cultura de la seguridad para contrarrestar el factor humano en los ciberataques. Pero si su organización aún necesita crear esta mentalidad de seguridad ante todo, y las amenazas y vulnerabilidades ponen cada vez más en riesgo a su empresa, debe preguntarse: ¿puede una buena formación en ciberseguridad cambiar una mala cultura de ciberseguridad?
Señales de una mala cultura de ciberseguridad y formas de solucionarla
Una mala cultura de ciberseguridad tiene signos reveladores a los que hay que prestar atención. A continuación se presentan algunas de las más evidentes, junto con algunas acciones que pueden cambiar una mala cultura de ciberseguridad utilizando algunas buenas técnicas de formación en ciberseguridad:
Mucho ruido y pocas nueces
Una cultura de la seguridad se extiende de arriba abajo y de abajo arriba. Hay que animar a todo el mundo a formar parte de un todo mayor, a trabajar por un objetivo común en el que la seguridad se tome en serio. Todos, desde la sala de juntas hasta el personal temporal, deben entender lo que significa anteponer la seguridad a todo lo demás y cómo hacerlo exactamente.
Nada cambiará si su organización habla de seguridad pero no proporciona métodos prácticos para hacer frente a las amenazas. Al explicar cómo estar seguro, el personal podrá reaccionar correctamente si se producen intentos de ciberataque, como correos electrónicos de phishing o eventos de ingeniería social.
Cómo pasar de las palabras a los hechos: para que las palabras se conviertan en hechos, los dirigentes deben adoptar medidas prácticas para apoyar los esfuerzos de seguridad. Para ello será necesaria una educación positiva y continua en materia de seguridad en toda la organización, que proporcione al personal las herramientas necesarias para contribuir a los esfuerzos de seguridad de la empresa.
Una cultura de la culpa, no de la seguridad
El juego de las culpas es una cultura tóxica y perjudicial que puede aparecer rápidamente cuando se producen ciberataques, sobre todo si siguen sucediendo. Señalar con el dedo y culpar al personal de los contratiempos, como abrir un correo electrónico potencialmente malicioso, es fácil. Sin embargo, cuanto más se señale con el dedo, más se enconará el ambiente general en torno al comportamiento de seguridad.
Además, este comportamiento de culpabilización es tan perjudicial como hacer clic en un enlace de phishing, ya que crea un entorno de desconfianza y perpetúa los malos comportamientos en materia de seguridad.
Poner fin al juego de culpar con una comunicación abierta: buscar chivos expiatorios y culpar son las antítesis de una buena cultura de ciberseguridad. En su lugar, trabaje en la creación de confianza, donde si un empleado comete un error, se sienta cómodo revelando ese percance. Una buena cultura de seguridad necesita una buena comunicación. Si un empleado informa a TI sobre un error de seguridad, como una divulgación accidental de datos confidenciales, el equipo puede actuar más rápidamente para mitigar la exposición de los datos.
Ignorar lo que dicen las métricas
Cuando una cultura de seguridad se tuerce, el problema se manifiesta en las métricas de vulnerabilidad de la organización: el factor humano en la ciberseguridad está bien reconocido, con estadísticas espeluznantes como que en el 82% de todos los ciberataques interviene un elemento humano. El error humano se produce cuando las personas no son conscientes de cómo sus acciones pueden conducir a la filtración de datos o poner en riesgo a una empresa. Por lo tanto, si observa un aumento de las infracciones potenciales o reales, es posible que se deba a los empleados y a otras personas ajenas a la empresa.
Las métricas son sus aliadas: utilice las métricas proporcionadas por los programas de formación de concienciación sobre seguridad y los programas de phishing simulado para identificar los puntos de preocupación. Las métricas permiten adaptar la formación para que sea más eficaz. Además, la formación puede ajustarse en función de las funciones para centrar la atención en áreas vulnerables específicas.
Me entra por un oído y me sale por el otro
Una cultura de seguridad ineficaz puede conducir a un aprendizaje ineficaz en materia de seguridad. Un material de formación aburrido y repetitivo puede desanimar a los empleados y perjudicar sus posibilidades de crear una sólida cultura de la seguridad.
El aprendizaje activo se produce cuando las personas están comprometidas y pueden conectar con el material a un nivel emocional. Por ejemplo, si no proporciona contenidos de concienciación sobre seguridad probados y fiables. En ese caso, es posible que la información les entre por un oído y les salga por el otro, y que los empleados olviden experiencias de aprendizaje vitales y no cambien su comportamiento en materia de seguridad.
El material estimulante funciona de maravilla: proporcione material de aprendizaje estimulante que conecte con sus empleados. Utilice la formación en el punto de necesidad para que los empleados aprendan a medida que se forman y ayuden a cambiar el comportamiento de malo a bueno. El material atractivo cala en los empleados y crea la mentalidad de que la seguridad es lo primero, necesaria para cimentar una cultura de la seguridad.
La formación está desconectada
Las culturas de todo tipo se basan en la confianza y la comunicación. Una mala cultura de la seguridad puede surgir si los empleados no comentan sus preocupaciones o problemas con los superiores jerárquicos. El problema surge cuando esos mismos superiores jerárquicos se sienten desconectados de la cultura de seguridad. Esto puede ocurrir cuando los programas de formación no tienen en cuenta a los directivos o cuando el material de formación no está adaptado a los departamentos y funciones específicos.
Conectar funciones y departamentos:
- Establezca relaciones y rompa fronteras a la hora de desarrollar programas de formación en seguridad diseñando campañas en torno a funciones específicas.
- Incluya a todos los empleados en la formación, todos en una organización desempeñan su papel en la empresa, y todos deben formar parte de la cultura de seguridad.
- Utilice material de formación que desarrolle conexiones entre la dirección y los empleados a través de eventos de formación colaborativa, como juegos tipo escape room.
Falta de implicación
Las culturas florecen cuando implican a todos. Las personas son sociales y el comportamiento prosocial forma parte de la construcción de comunidades sólidas y cooperativas. Si no incluyes a todo el mundo en tu formación sobre concienciación en materia de seguridad, se formarán facciones que tendrán un comportamiento en materia de seguridad más deficiente que el de quienes hayan recibido la formación. La falta de participación de algunos repercutirá en el desarrollo de una cultura y una comunidad de seguridad cohesionadas.
Escuche y aprenda: escuchar a su personal puede ayudar a desarrollar un sentimiento de comunidad y confianza. Adopte una política de puertas abiertas para establecer contactos que permitan mejorar las respuestas en materia de seguridad. Escuche y aprenda: involucre a los empleados en la formación de concienciación sobre seguridad mediante iniciativas como la semana anual de concienciación sobre ciberseguridad. Saber escuchar es una gran estrategia de compromiso. También ayuda a desarrollar un espíritu de comunidad vital para desarrollar una cultura de seguridad sólida y eficaz.
Hay un proverbio que sin duda habrá oído: "unidos resistiremos, divididos caeremos". Este dicho encierra la importancia de trabajar juntos hacia un objetivo común; al hacerlo, el "todo se hace mayor que la suma de las partes". La formación sobre concienciación en materia de seguridad debe implicar a toda la comunidad de la organización y tender puentes basados en experiencias y preocupaciones compartidas. Al ofrecer un programa de Formación de Concienciación sobre Seguridad ameno, atractivo e informativo, su empresa puede crear esa cultura de seguridad tan esquiva pero vital.