Los ciberataques son tan comunes que aparecen regularmente en las noticias nacionales. Hay muchas razones por las que las estafas y la ciberdelincuencia han despegado. Aun así, la manipulación y la ingeniería social de nuestros empleados y del software que utilizan es un punto de partida típico para estos ataques.

Las organizaciones de todo el mundo trabajan en la creación de una cultura de seguridad para contrarrestar el factor humano en los ciberataques. Pero si su organización aún necesita crear esta mentalidad de que la seguridad es lo primero, y las amenazas y vulnerabilidades ponen cada vez más en riesgo a su empresa, debe preguntarse, ¿puede una buena formación en ciberseguridad cambiar una mala cultura de ciberseguridad?

Señales de una mala cultura de ciberseguridad y formas de solucionarla

Una mala cultura de ciberseguridad tiene señales de advertencia reveladoras a las que hay que prestar atención. A continuación se presentan algunas de las más obvias, junto con algunas acciones que pueden cambiar una mala cultura de ciberseguridad utilizando algunas buenas técnicas de formación en ciberseguridad:

Mucho hablar y nada hacer

Una cultura de seguridad impregna desde arriba hacia abajo y desde abajo hacia arriba. Hay que animar a todo el mundo a formar parte de un todo mayor, trabajando por un objetivo común en el que la seguridad se tome en serio. Todos, desde la sala de juntas hasta el personal temporal, deben comprender lo que significa anteponer la seguridad a todo lo demás y cómo hacerlo exactamente.

Nada cambiará si su organización habla de seguridad pero no proporciona formas prácticas de hacer frente a las amenazas. Al explicar cómo estar seguro, el personal podrá reaccionar correctamente si se producen intentos de ciberataque, como correos electrónicos de phishing o eventos de ingeniería social.

Cómo pasar de la charla a la acción: para pasar de la charla a la acción, el liderazgo debe seguir adelante con formas prácticas de apoyar los esfuerzos de seguridad. Esto requerirá una educación positiva y continua en materia de seguridad en toda la organización, proporcionando al personal las herramientas para ayudar al esfuerzo de seguridad de la empresa.

Una cultura de la culpa, no de la seguridad

El juego de las culpas es una cultura tóxica y perjudicial que puede aparecer rápidamente cuando se producen ciberataques, sobre todo si siguen sucediendo. Señalar con el dedo y culpar al personal de los contratiempos, como abrir un correo electrónico potencialmente malicioso, es fácil. Sin embargo, cuanto más se señale con el dedo, más se enconará el ambiente general en torno al comportamiento de seguridad.

Además, este comportamiento de culpabilización es tan perjudicial como hacer clic en un enlace de phishing, ya que crea un entorno de desconfianza y perpetúa un comportamiento de seguridad deficiente.

Ponga fin al juego de las culpas con una comunicación abierta: buscar chivos expiatorios y culpar a los demás son las antítesis de una buena cultura de ciberseguridad. En su lugar, trabaje en la construcción de la confianza, donde si un empleado comete un error, se sienta cómodo revelando ese percance. Una buena cultura de seguridad necesita una buena comunicación. Si un empleado informa al departamento de TI sobre un paso en falso en materia de seguridad, como una divulgación accidental de datos confidenciales, el equipo puede actuar con mayor rapidez para mitigar la exposición de los datos.

Ignorar lo que le dicen las métricas

Cuando una cultura de seguridad se tuerce, el problema se manifiesta en las métricas de vulnerabilidad de la organización: el factor humano en la ciberseguridad está bien reconocido, con estadísticas espeluznantes como En el 82% de los ciberataques interviene un elemento humano. El error humano se produce cuando las personas no son conscientes de cómo sus acciones pueden conducir a la filtración de datos o poner en peligro a una empresa. Por tanto, si observa un aumento de las infracciones potenciales o reales, es posible que se deba a los empleados y a otras personas ajenas a la empresa.

Las métricas son sus amigas: utilice las métricas proporcionadas por los programas de formación sobre concienciación en materia de seguridad y los programas de phishing simulado para identificar los puntos de preocupación. Las métricas le permiten adaptar la formación para que sea más eficaz. Además, la formación puede ajustarse en función de las funciones para centrar la atención en áreas vulnerables específicas.

Me entra por un oído y me sale por el otro

Una cultura de seguridad ineficaz puede conducir a un aprendizaje ineficaz en materia de seguridad. Un material de formación aburrido y repetitivo de tipo presencial puede desanimar a los empleados y dañar sus posibilidades de crear una sólida cultura de seguridad.

El aprendizaje activo se produce cuando las personas están comprometidas y pueden conectar con el material a un nivel emocional. Por ejemplo, si no proporciona contenidos de concienciación sobre seguridad probados y fiables. En ese caso, es posible que la información le entre por un oído y le salga por el otro, con lo que los empleados olvidarán experiencias de aprendizaje vitales y los malos comportamientos en materia de seguridad permanecerán inalterados.

El material estimulante hace maravillas: proporcione material de aprendizaje estimulante que conecte con sus empleados. Utilice la formación en el punto de necesidad para que los empleados aprendan mientras se forman y ayuden a cambiar el comportamiento de malo a bueno. El material atractivo cala en los empleados y crea esa mentalidad de que la seguridad es lo primero, necesaria para cimentar una cultura de la seguridad.

La formación está desconectada

Las culturas de todo tipo se construyen sobre la base de la confianza y la comunicación. Una mala cultura de seguridad puede surgir si los empleados no comentan sus preocupaciones o problemas con los jefes de línea. El problema surge cuando esos mismos gerentes de línea se sienten desconectados de la cultura de seguridad. Esto puede ocurrir cuando los programas de formación pasan por alto a los directivos o cuando el material de formación no se adapta a los departamentos y funciones específicos.

Conecte funciones y departamentos:

  1. Establezca relaciones y rompa fronteras a la hora de desarrollar programas de formación en seguridad diseñando campañas en torno a funciones específicas.

  2. Incluya a todos los empleados en la formación, todos los miembros de una organización desempeñan un papel en la empresa y todos deben formar parte de la cultura de seguridad.

  3. Utilice material de formación que desarrolle conexiones entre la dirección y los empleados a través de eventos de formación colaborativa como juegos al estilo de las salas de escape.

Falta de implicación

Las culturas florecen cuando implican a todos. Las personas son sociales y el comportamiento prosocial forma parte de la construcción de comunidades sólidas y cooperativas. Si no incluye a todo el mundo en su formación sobre concienciación en materia de seguridad, se formarán facciones que tendrán un comportamiento en materia de seguridad más deficiente que el de los que han pasado por la formación. La falta de implicación de algunos repercutirá en el desarrollo de una cultura y una comunidad de seguridad cohesionadas.

Escuche y aprenda: escuchar a su personal puede ayudar a desarrollar un sentimiento de comunidad y confianza. Tenga una política de puertas abiertas para establecer conexiones, lo que conducirá a mejores respuestas en materia de seguridad. Escuche y aprenda: involucre a los empleados en la formación de concienciación sobre seguridad mediante iniciativas como la semana anual de concienciación sobre ciberseguridad. Saber escuchar es una gran estrategia de compromiso. También ayuda a desarrollar un espíritu de comunidad vital para desarrollar una cultura de seguridad sólida y eficaz.

Hay un proverbio que sin duda habrá oído: «unidos resistiremos, divididos caeremos». Este dicho resume la importancia de trabajar juntos hacia un objetivo común; al hacerlo, el «todo se hace mayor que la suma de las partes». La formación sobre concienciación en materia de seguridad debe implicar a toda la comunidad de la organización y tender puentes basados en experiencias y preocupaciones compartidas. Al ofrecer un programa de Formación en Concienciación sobre la Seguridad ameno, atractivo e informativo, su empresa puede hacer realidad esa cultura de la seguridad tan esquiva pero vital.

Formación sobre sensibilización en materia de seguridad para proveedores externos