Los ataques cibernéticos no van a desaparecer tan pronto. En cambio, debemos esperar que la frecuencia de estos solo aumente. Esto significa que la verdadera pregunta es ¿cómo las organizaciones brindan protecciones más eficaces para sus empleados, aliados y clientes?
Tenemos que empezar con lo básico. Un hecho frustrante es que incluso los recursos de seguridad fuertes siguen siendo perjudicados cuando las organizaciones fallan al no cumplir con lo básico. Por lo básico, nos referimos a etapas como corregir fallas de seguridad conocidas de inmediato, requerir contraseñas fuertes, agregar autenticación de dos factores para el acceso a la red y capacitar a las personas sobre cómo identificar y prevenir ataques de phishing.
La buena noticia es que un liderazgo fuerte puede solucionar esta serie de problemas causados por descuidar lo básico. La solución es construir una cultura de seguridad sostenible, independientemente del tamaño de su organización. Resolver problemas de ciberseguridad significa impulsar el cambio organizacional. Además, los líderes de seguridad no pueden ser los impulsores del cambio sin una cultura de seguridad firmemente establecida como base.
Construyendo una cultura sostenible que priorice la seguridad
Una cultura que priorice la seguridad comienza con una clara comprensión y aceptación de que la seguridad es responsabilidad de todos. Desde el empleado recién contratado hasta el Director de Seguridad, una sólida cultura de seguridad significa que todos aceptan el hecho de que tienen un papel que desempeñar para mantener la seguridad de la organización.
Esta función comienza cuando todos los involucrados adoptan una mentalidad de seguridad. Esto significa tomarse tiempo para considerar las implicaciones de seguridad de cada acción, ya sea al proporcionar a los aliados acceso a su red, determinar los recursos de un nuevo producto o cómo responde a las solicitudes de información por teléfono, correo electrónico o redes sociales. En cualquier situación, la seguridad debe ser parte de la determinación de cómo usted participa.
Ningún problema básico de seguridad ilustra mejor la necesidad de una mentalidad de seguridad que un ataque de phishing. Un estudio de Cisco estima que hasta el 95% de todas las violaciones de datos resultan de ataques de phishing exitosos. Solo mediante la construcción de una cultura de seguridad en la que todos entiendan que deben centrarse en la seguridad, la empresa podrá enfrentar la amenaza del phishing.
Y construir una cultura que priorice la seguridad puede resolver el problema de los ataques de phishing. En mi discurso, en nuestros eventos anuales de lanzamiento de toda la empresa que dan inicio a nuestro año fiscal, hablé sobre cómo todos en Lenovo pueden ayudar y mostré dónde en Outlook todos pueden encontrar la función “Informar phishing” que tenemos en nuestros sistemas y que Microsoft ofrece a las empresas. Al facilitar la denuncia de correos electrónicos sospechosos, la comunicación de esta amenaza potencial ha aumentado más de diez veces. Aún mejor, menos de 1 de cada 10 correos electrónicos marcados como sospechosos son en realidad correos electrónicos de phishing, lo que significa que nuestros equipos están siendo extremadamente prudentes, que es exactamente la cultura que deseamos tener.
La sensibilización sobre la seguridad nunca se detiene
Otro elemento clave en una cultura que priorice la seguridad es garantizar que todos entiendan que la sensibilización sobre la seguridad nunca se detiene. La seguridad es una jornada y no un destino. Por cada nuevo recurso de seguridad o software de seguridad, se está desarrollando una nueva vulnerabilidad en alguna parte. Por lo tanto, la necesidad de sensibilización sigue siendo constante.
Sin embargo, también significa que los líderes de su cultura de seguridad deben comprender que no basta simplemente con asustar a sus equipos cuando se trata del cumplimiento de la seguridad. Puesto que, con el tiempo, el mensaje perderá significado y al final será ignorado. No solo debe haber creatividad en la comunicación sobre seguridad, sino que también hay que tener en cuenta que se cometerán errores. La forma en que usted reacciona ante estos errores puede marcar la diferencia entre fortalecer su cultura o debilitarla sin darse cuenta.
Siempre que sea posible, convierta los incidentes de seguridad en oportunidades de aprendizaje. Asegúrese de que todos los involucrados entiendan qué salió mal, cuáles fueron las consecuencias para la organización y cómo se deben evitar estos problemas en el futuro. Si el problema que condujo al error es nuevo, se debe desarrollar e impartir un entrenamiento adicional para que el máximo número de personas pueda aprender del incidente.
Una fuerte cultura de seguridad ante todo exige responsabilidad. Se deben aplicar las políticas de la empresa. Además, aquellos que han sido instruidos sobre las acciones correctas que tomar deben seguir este entrenamiento. Sin embargo, celebrar el éxito es aún más importante. Esto puede ser un desafío en el ámbito de la seguridad, donde el éxito a menudo significa que no se han producido ningún problema. Además, cuando se refiere a nuestro personal y programas de seguridad más avanzados, nunca queremos llamar la atención sobre cómo estamos protegiendo nuestras organizaciones, para no dar a los atacantes una ventaja no deseada.
Sin embargo, me gustaría animarlo a celebrar el éxito en seguridad siempre que pueda. En la línea de frente, esto significa agradecer a los empleados que denuncias los correos electrónicos sospechosos. Y para sus equipos centrados en la seguridad, esto significa brindar oportunidades de crecimiento y establecer la seguridad como una carrera deseable.
A medida que las amenazas a la seguridad continúan evolucionando, las organizaciones necesitan un conjunto sólido de defensas para detectar posibles ataques y proteger sus sistemas y datos. Al establecer una cultura de seguridad fuerte, usted podrá capacitar a su personal para tomar medidas simples, básicas y poderosas para brindarle a su organización una importante capa adicional de defensa contra los ataques cibernéticos.
