Por qué la ciberseguridad es responsabilidad de todos
Publicado el: 6 Ene 2022
Última modificación: 23 Sep 2025
La ciberseguridad es responsabilidad de todos. Como seres humanos, somos cooperativos por naturaleza, prosperamos con la colaboración y el éxito compartido. Este sentido de unión no sólo fortalece nuestras comunidades, sino que también es vital para construir organizaciones sólidas y eficientes frente a las crecientes amenazas cibernéticas.
En este artículo, exploraremos cómo los empleados desempeñan un papel crucial en las estrategias de seguridad eficaces y contribuyen a la gestión del riesgo humano. Hablaremos de la importancia de fomentar una cultura de empresa en la que la ciberseguridad se considere una responsabilidad colectiva, y de cómo aunar esfuerzos en una misma dirección puede ayudar a crear una organización cibersegura. Sin embargo, conseguirlo requiere una planificación y una preparación minuciosas para garantizar que todo el mundo comprenda su papel en el control de las amenazas de la ciberseguridad moderna.
La ciberseguridad es algo más que tecnología
Los atacantes de seguridad buscan un paseo fácil; después de todo, ¿por qué complicarse la vida? El «paseo fácil» viene en forma de escenarios de ataques a la ciberseguridad que se sirven de un ser humano, normalmente un empleado o un socio comercial, para abrir la puerta de la red corporativa.
Normalmente, los ciberdelincuentes utilizan técnicas de ingeniería social y phishing para entrar en la red y, una vez dentro, los ciberatacantes pueden darse un festín de datos, instalar ransomware y causar estragos en general.
Los investigadores de la Universidad de Stanford descubrieron que el 88% de las violaciones de la seguridad tenían un elemento de error humano, ya que los empleados a menudo no estaban dispuestos a admitir sus errores. El informe también identificó los correos electrónicos de phishing como la causa del 25% de las brechas, con estafas de phishing que atrapan a los empleados utilizando la ingeniería social y trucos psicológicos para manipular el comportamiento.
Para agravar el éxito del elemento humano en los ciberataques, se ha demostrado que las herramientas de seguridad tradicionales, como el software antivirus, sólo son un 50% eficaces a la hora de detectar amenazas. Este doble golpe de la ingeniería social, unido a unas tecnologías de seguridad con una eficacia inferior al 100%, ha llevado a los equipos de TI a comprender que necesitan un enfoque más holístico para proteger los recursos.
Por el contrario, los profesionales de la seguridad saben que para hacer frente a los ciberataques deben incorporar una mezcla de formación sobre concienciación en materia de seguridad y medidas tecnológicas dirigidas por una aplicación sólida de las políticas.
En última instancia, todos los miembros de una organización tienen un papel que desempeñar para crear una capa protectora contra los ciberataques. El uso de cinco valores fundamentales ayuda a cimentar la responsabilidad de todos dentro de una empresa.
Crear una mentalidad de ciberseguridad responsable a través de cinco valores fundamentales
Reconocer que la ciberseguridad es responsabilidad de todos y que los empleados son una parte crucial de una estrategia de ciberseguridad eficaz conduce al concepto del cortafuegos humano. Se trata de una idea que se basa en permitir que los empleados actúen como un escudo contra las ciberamenazas centradas en el ser humano.
Los empleados son un objetivo de los ciberdelincuentes que buscan formas fáciles de entrar en una organización. Una responsabilidad eficaz y procesable requiere herramientas de protección contra los ataques que se centren en los empleados; un empleado empoderado reduce la probabilidad de éxito de un ataque.
Construir un sólido cortafuegos humano requiere un cambio de mentalidad. Este cambio de mentalidad crea una cultura de ciberseguridad, basada en una buena educación en materia de seguridad y en herramientas y medidas que proporcionan a los empleados y a otras personas ajenas a la empresa los medios para ayudar a detectar y atajar el phishing y otras estafas como el Business Email Compromise (BEC).
Esta mentalidad de que la seguridad es lo primero es defendida por el Instituto Nacional de Normas y Tecnología (NIST). Una publicación del NIST de 2018 «La seguridad es tarea de todos» establece cinco valores fundamentales que se utilizan para crear una cultura de ciberseguridad que el NIST considera «crítica» para una postura de ciberseguridad exitosa:
1/ Valor esencial uno – Mentalidad
El NIST afirma que una cultura de ciberseguridad es fundamental para imbuir a toda la organización de una mentalidad que dé prioridad a la seguridad. Esta piedra angular de la seguridad empresarial prepara el terreno para mejorar la seguridad mediante la concienciación sobre los trucos y las estafas que conducen a la exposición de datos, el ransomware y otras violaciones de la seguridad.
2/ Valor fundamental dos – Liderazgo
El tono de la responsabilidad en materia de seguridad debe venir de arriba para fomentar e imponer la mentalidad de seguridad necesaria para frustrar los ciberataques.
Este liderazgo descendente en seguridad se está formalizando, ya que Gartner, Inc. predice que «para 2025, el 40% de los consejos de administración tendrán un comité de ciberseguridad dedicado supervisado por un miembro cualificado del consejo». Los líderes deben predicar con el ejemplo y actuar para influir y modelar buenos hábitos de seguridad.
3/ Valor esencial tres – Formación y sensibilización
El NIST reconoce que uno de los pilares fundamentales de una organización segura es poner en práctica una formación de concienciación en materia de seguridad. Educando a los empleados sobre los trucos de ingeniería social y formándoles para detectar los correos electrónicos de phishing, los empleados pueden «cerrar la puerta de la ciberamenaza» en las narices del ciberdelincuente.
4/ Valor esencial cuatro – Gestión del rendimiento
Los objetivos de la organización deben alinearse con los objetivos de rendimiento individual. El NIST sugiere utilizar incentivos y desincentivos para ayudar a modificar los malos comportamientos en materia de ciberseguridad.
5/ Valor esencial cinco – Refuerzo técnico y político
Deben utilizarse medidas técnicas, como la autenticación multifactor (MFA) y las políticas de contraseñas, para aumentar y hacer cumplir una buena higiene de seguridad.
La ciberseguridad es responsabilidad de todos La ciberseguridad a través de la ciberresponsabilidad
La ciberseguridad es responsabilidad de todos. Pero cuando se hace a alguien responsable de algo hay que dotarle de las herramientas necesarias para actuar en consecuencia.
Para iniciar el proceso de convertirse en una organización ciberresponsable, una empresa debe crear una cultura en la que la seguridad sea una segunda naturaleza. Los seres humanos son cooperativos por naturaleza, y se puede cultivar un sentido de la responsabilidad aplicando los cinco valores fundamentales del NIST, como se muestra más arriba.
Estos valores le permiten subrayar e imponer un sentido de responsabilidad en materia de ciberseguridad y proporcionar a los empleados los medios para cumplir con esa responsabilidad y actuar como una fuerza combinada contra los ataques de ingeniería social.
