La seguridad es una cuestión de cultura – La ciberseguridad en la cultura corporativa

Los ataques cibernéticos suelen ocurrir como resultado de la falta de cultura de seguridad

By Ildikó Bruhns

Cuando los sistemas de seguridad y las normas de cumplimiento son eludidos por los empleados, los incidentes ocurren como se esperaba. Sin embargo, la mayoría de los daños no son causados por ataques automatizados al epicentro de la tecnología de la información de una empresa, sino por la falta de cultura de seguridad. Sin embargo, hay más que simplemente crear una conciencia colectiva a través de reglas de cumplimiento rígidas. Lo que los empleados realmente necesitan es una «cultura de seguridad».

Cuando los empleados eluden los límites de cumplimiento y los sistemas de seguridad, los incidentes son inevitables. Si bien la inversión en tecnologías de protección aumenta con razón año tras año, las empresas no deberían asumir, nolens volens, que los ciberataques son cosa del pasado. El mayor error del «sistema operativo» suele ser sobreestimar las capacidades de la tecnología y subestimar la creatividad de los ciberdelincuentes. La mayoría de los daños no son causados por ataques automatizados al epicentro de la tecnología de la información de una empresa, sino por la falta de cultura de seguridad. Sin embargo, hay más que simplemente crear una conciencia colectiva a través de reglas de cumplimiento rígidas. Lo que los empleados realmente necesitan es una «cultura de seguridad».

Protección en cultivo puro

Imagine que como empleador en su empresa tuvo que conseguir que miles de empleados actuaran juntos – en una fracción de segundo. Una imposibilidad, parece. Pero nuestro cuerpo «vive» exactamente eso, con una tasa de éxito impresionante. Unos 86.000 millones de neuronas deben trabajar juntas y comunicarse entre sí ininterrumpidamente para que podamos pensar, sentir y actuar. Esto sólo funciona bajo una condición: cada célula debe saber qué es exactamente lo que se supone que debe hacer, y la química entre todas ellas debe ser literalmente correcta. Si no es así, habrá deterioros y, en el peor de los casos, fallos importantes.

En lo que respecta a la seguridad, este «modo de funcionamiento» debería convertirse en el modelo de la cultura de la seguridad. La compañía forma aquí el sistema nervioso central, el cultivo de seguridad actúa como una sinapsis y al mismo tiempo como un punto de conexión entre las células nerviosas. Cada empleado encarna una célula altamente especializada, incluso la más pequeña de las cuales contribuye a un «sistema de defensa» que funciona.

Factor de incertidumbre Responsabilidad

Según el actual «Cybersecurity Culture Report«, el 90 por ciento de los 4.800 encuestados ven una discrepancia entre la cultura de seguridad real y la deseada. La mayoría de los participantes en la encuesta consideran que las medidas de defensa contra los ataques internos y externos en su propia empresa son insuficientes. Además, la mayoría de los empleados ni siquiera saben cómo pueden mejorar ellos mismos la protección (de los datos). Esto, a su vez, se debe a su incertidumbre sobre su propio papel y área de competencia en lo que se refiere a la seguridad. Sólo tres de cada diez empleados son realmente conscientes de esto.

En este contexto, se hace evidente lo que a menudo se descuida en este contexto de la cultura de la seguridad: La seguridad debe abandonar la visión puramente técnica y colocar el elemento humano (intermedio) por encima de ella. Hoy en día, este replanteamiento es aún más crucial, porque los ciberdelincuentes confían cada vez más en los métodos de «ingeniería social» desde hace algún tiempo. Para ello, utilizan trucos psicológicos como el Fraude del Director General («truco del director general»), con el que manipulan y presionan a los empleados en el caso con autoridad. Las cualidades humanas como la gratitud, el sentido del deber, la buena fe o el orgullo son explotadas sin piedad.

Si un empleado cae en la trampa de un ciberdelincuente, en la mayoría de los casos se le amenaza con el despido. Pero en este caso, ¿no debería cuestionarse la cultura de seguridad en vez de al empleado de la empresa?

La «cultura de la seguridad» como ancla de la estabilidad

«Nada es seguro excepto la tecnología, y menos aún el lugar de trabajo» – esto resume la estrategia de muchas empresas, independientemente del sector y el tamaño, en nuestra sociedad orientada al rendimiento. Es precisamente este punto de vista el que debe ser revertido. Si nosotros, como empresa, sólo reaccionamos de acuerdo a un patrón cuando construimos una cultura de seguridad, debemos tener cuidado de no perder dos cualidades de nuestro «capital humano»: la intuición y la imprevisibilidad. O, para decirlo de forma herética, ¿sabe cuántos incidentes de seguridad se han evitado gracias a una acción impredecible?

Si quieres establecer una cultura de seguridad seria más allá del bla bla bla habitual del marketing, como empleador debes ante todo dar a los propios empleados más seguridad – en una «cultura (corporativa) de seguridad».  La seguridad es una de las necesidades humanas básicas, intentamos protegernos contra todo y proteger a todos los que valoramos. ¿Por qué pocas empresas empiezan con sus empleados? Un empleado inseguro no abandonará su camino (de pensamiento), no importa lo bien que sea.

El trabajo en equipo entre el hombre y la tecnología

Se dice que la reina Isabel preguntó una vez en una conversación sobre su propio funeral, «No estoy seguro de que me gusten las velas. ¿Puedo llevar el mío propio?» Es una historia similar cuando se trata de la seguridad en la mayoría de las empresas todavía: Todo el mundo prefiere confiar en sus propias experiencias y valores cuando se trata de tecnología y datos. Las directrices de cumplimiento son un marco de acción sensato, pero las respuestas como «Porque así es como es» no llevan a ninguna parte cuando se trata de implementar una cultura de seguridad viva.

También es crucial sacar finalmente la idea de la tecnología «súper segura» de la cabeza de todos. Además, no se debe permitir que la tecnología utilizada se convierta en un engaño, y no se debe considerar a las personas como meros engranajes de la cadena de procesos. La película de Charlie Chaplin «Tiempos modernos» muestra cómo la gente se aburre al adaptarse a la tecnología – esto no es diferente hoy en día frente a la PC de lo que era en aquel entonces en la línea de montaje. Por lo tanto, la cultura de la seguridad no debe regirse, porque la cultura en su significado como algo «a ser moldeado por uno mismo», así como la seguridad como resultado de la comprensión intuitiva, los valores, las experiencias y una actitud de expectativa son parámetros dinámicos.

De luchador solitario a red de seguridad

La cultura de la seguridad no es un concepto estático, sino más bien una especie de construcción social con factores dinámicos, de la que se pueden derivar máximas de acción individuales y colectivas. Además, el horizonte de expectativas desempeña un papel en este contexto que no debe subestimarse: cuanto más previsor sea, más seguridad puede esperarse.

Tanto técnica como organizativamente, los empleados necesitan (auto)certeza, un cruce entre seguridad y conocimiento. También necesitan la confianza de que la cultura de seguridad en la empresa no degenerará en un fenómeno marginal con el tiempo, sino que siempre será un asunto del jefe con carácter de inversión. Si crea un ambiente tan confiable, la cultura de seguridad se convertirá lenta pero seguramente en una segunda naturaleza para sus empleados. De esta manera, los guerreros solitarios pueden convertirse en verdaderos networkers de seguridad que pueden borrar con confianza de su vocabulario afirmaciones como «Si lo hubiera sabido» o «Estará bien» y caminar por el mundo cibernético con los ojos bien abiertos.

El refugio: entre la autoridad y la inspiración

Además, la tematización de las cuestiones de seguridad también está relacionada con el no conocimiento. Los sistemas técnicos no son completamente controlables desde el principio; sólo a través de «fallos de funcionamiento» se hacen cada vez más controlables. Así que si las máquinas tienen que «aprender» en igual medida, las empresas deberían esperar menos de los empleados que funcionen sin fallos. La cultura de la seguridad no se crea por presión, sino más bien por un entorno seguro en el que, además de las especificaciones técnicas y organizativas, hay espacio para opciones de diseño activas, «espacios de resonancia» y cualidades humanas como el instinto o la creatividad para encontrar soluciones.

«Lo que es seguro es que nada es seguro. Ni siquiera eso», dijo Ringelnatz una vez. Una cosa es segura: siempre habrá un riesgo residual con la gente y la tecnología. Esto también se aplica a una cultura de seguridad «vivida» en la que el conocimiento, la anticipación, la reflexión y el intercambio se encuentran entre los factores más importantes. Si se anima a los empleados a hacer esto, los ciberdelincuentes están en algunos momentos difíciles.

Consejos organizativos y técnicos con los que ya se pueden eliminar de antemano ciertos riesgos o posibles factores de inseguridad y garantizar una mayor seguridad:

  • Ahorro de datos como contramedida: Los ataques de ingeniería social como el «fraude de los directores generales» pueden estar limitados de alguna manera por la «codicia de datos». Las empresas deberían considerar si la presencia de datos omnipresentes, por ejemplo en forma de direcciones de correo electrónico personales en el sitio web o notas de ausencia (especialmente del director general), es realmente necesaria.
  • La seguridad y el cumplimiento deben ir de la mano: Tanto en el aspecto organizativo como en el técnico, se instruye a los responsables para que las políticas de la empresa y el uso de las tecnologías sean lo más sencillas, comprensibles y vinculantes posible para los empleados. Son sensatas y fáciles de aplicar, por ejemplo, la introducción de firmas digitales y tecnología adecuada para el uso cotidiano, la protección de datos y los ajustes predeterminados favorables a la seguridad de los datos, etc.
  • Planificar un presupuesto realista con recursos humanos y financieros, también para amortiguar los picos de carga en la empresa.
  • Poner a prueba el trabajo interno y los procesos de negocio: Por ejemplo, en el tema del acceso a los datos. ¿Quién está autorizado a acceder a qué datos, cuándo, cómo y dónde? ¿Es esto realmente necesario?
  • Fortalecer a los empleados en su papel: Las personas objetivo de las empresas que corren un riesgo especial de ser víctimas de un ataque deben ser conscientes de ello y, por consiguiente, se les debe alentar más en su conciencia de la seguridad. La capacitación y la educación pueden utilizarse para elaborar conjuntamente esferas de competencia realistas y normas de conducta claras y prácticas sobre lo que se debe hacer en caso de un (pre)incidente.
Ildikó Bruhns
Ildikó ist seit 2011 für ESET tätig und tagtäglich ganz nah am Thema Cybersicherheit. Sie hat an der Bauhaus-Universität Weimar Medienkultur studiert - mit Faible für Filmphilosophie. So gesehen, ist für sie die IT-Security-Welt durchzogen von hollywoodreifen (virtuellen) Duellen zwischen Gut und Böse oder einem ewigen Katz- und Maus-Spiel à la „Catch Me If You Can“. Ihre Artikel werden in (Fach-)Magazinen und online publiziert.
También podría gustarte Más del autor

Los comentarios están cerrados.

More Stories

El dilema del innovador – Por qué las empresas de…

Ciberseguridad: ¿qué tiene que ver conmigo y con mi empresa?

Ciberseguridad para empresarios en 5 puntos

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More