“Impacto de lo obvio en la gestión del riesgo y la Ciberseguridad”, un tema que parece tan insignificante pero, tiene un impacto que puede ser positivo o negativo según se aborde; es por esto que hoy queremos abordarlo desde la construcción de la cultura de la ciberseguridad en nuestras empresas, instituciones y con alcance en nuestro hogar. (Efecto de lo obvio en la construcción de la cultura en la ciberseguridad)
A cierre del 2022 INFOBAE nos informó que por lo menos, en Colombia ese año estuvo marcado por los ciberataques, en total fueron 34 las empresas que sufrieron una situación así, o por lo menos el número de los que se conocieron, ya que la mayoría no cuenta o logran pasar desapercibidas debido a la mala reputación que trae el conocer que hubo un ataque cibernético de cualquier tipo, y muy seguramente no se sabrán las causas que permitieron o facilitaron la materialización
de dichos eventos, pero lo claro es que hace más de una década venimos hablando de la prevención en el uso de las tecnologías de la información, de la seguridad de la información y “obvio” hay que protegerse, pero del dicho al hecho, hay mucho trecho, y se sigue creyendo que eso es tarea de una solo persona o el área de una organización, pero sin conciencia, decisiones positivas, prácticas, monitoreo, pero sobre todo con el ejemplo (ingredientes básicos de una cultura), estaremos de forma permanente expuestos. (Efecto de lo obvio en la construcción de la cultura en la ciberseguridad)
Lo Obvio!
Por qué es tan común que nuestras decisiones partan de la interpretación de lo obvio; analizando un artículo escrito por José Antonio Ferreyros, donde nos orienta y tal vez se da porque nuestra visión es quizá nuestro sentido predilecto, el sentido ‘básico’ para percibir la realidad, tenemos fe completa en lo que vemos, sin embargo, existen varias estructuras innatas “pre-programadas” en nuestra naturaleza humana que sesgan nuestra percepción visual del mundo y nos pueden llevar a trampas lógicas. Esto no significa que nuestra razón sea una ilusión o que todos tenemos fallas de fábrica; significa que, efectivamente, entender las cosas desde un lente “obvio” puede inducir el error. La mente se convierte en algo considerado como “obvio” y se presentaba como una máscara para que no sea detectado, que afecta nuestra visión, que puede ser un sesgo que puede alejar a la percepción de la realidad y otro sesgo implícito en nuestra racionalidad, lo que ves es todo lo que hay. Kahneman y Tversky desarrollaron en su teoría de una mente dual (dividida en dos sistemas, uno responsable de un “pensamiento rápido” y otro de un “pensamiento lento”), vías de procesamiento de la información diferenciadas. En síntesis, estructuras mentales del cerebro tienden a analizar la información presente (lo que se ve…), sólo la que se tiene en el momento, hilarla en una historia
medianamente coherente, y al ser compacta, o al tener sentido en sí misma, considerarla como correcta (…es todo lo que hay). (Efecto de lo obvio en la construcción de la cultura en la ciberseguridad)
¿Qué significa “seguridad apropiada”?
No existe una definición que sirva en general para todas las organizaciones, debido a que cada caso es único. Es evidente que en la mayoría de casos se deberán establecer políticas, objetivos, infraestructura, procesos, gestión del riesgo, controles, monitoreo, mejoramiento continuo, pero sobre todo CULTURA de la Prevención, no solo nuestra, sino que adicionar a nuestros asociados de negocio especialmente.
Sólo el 40% de las empresas evalúa los niveles de seguridad de sus proveedores externos durante toda su relación, a pesar de que un 47,6% de los proveedores se conectan a la red interna de las compañías y a que un 46% almacena o gestiona información de la organización.
“Los procesos de digitalización de las organizaciones y su mayor dependencia de terceros proveedores están incrementando el número y la intensidad de los ciberataques y, por ello, las empresas deben tomar medidas de prevención para evitar brechas tanto en sus sistemas de seguridad como en los de toda la cadena de valor”, asegura Antonio Ramos, Socio y director de Operaciones de LEET Security. Incluso luego de la pandemia, muchas empresas optaron por al menos adoptar un modelo de trabajo híbrido, lo que a su vez impulsó cambios en su relación con la ciberseguridad, de este modo, las organizaciones y equipos de ciberseguridad comenzaron a idear nuevas estrategias para lidiar con este nuevo ecosistema. Es por esto que los profesionales de ciberseguridad se vieron ante la necesidad de enfatizar aún más el rol de la cultura organizacional. Esto significa que, más allá de la implementación de antivirus y firewalls, la percepción que tienen los empleados sobre las amenazas y las nociones individuales acerca de la ciberseguridad juegan un papel cada vez más importante para mantener a la organización y sus activos digitales seguros.
Ciberseguridad!
En sintonía con esto, hubo un cambio de foco que busca construir una cultura de ciberseguridad más fuerte dentro de las organizaciones. Las políticas de ciberseguridad de muchas organizaciones giran en torno a los equipos o departamentos de ciberseguridad, lo se busca con una cultura de ciberseguridad es descentralizar las responsabilidades de ciberseguridad para todos en la organización. Una cultura de ciberseguridad busca reducir los riesgos generales de ciberseguridad mediante el fortalecimiento de los eslabones más débiles de la organización y su recurso más preciado: la gente. La cultura de ciberseguridad impulsa a la cultura organizacional para reducir el riesgo de seguridad, en lugar de decirles a los colaboradores lo que tienen que hacer, es preciso concentrarse en que sean conscientes de los riesgos y conozcan las mejores prácticas. Este enfoque empodera a los empleados para que tomen decisiones en sus actividades laborales sin dejar de lado a la ciberseguridad. La creciente necesidad de una cultura de ciberseguridad se vio impulsada por la pandemia. Los ataques de ransomware y phishing se volvieron mucho más comunes durante este período, dejando más expuestos a este tipo de ataque a los empleados y sus dispositivos. El riesgo de IT en las sombras también aumenta con el trabajo remoto. Los empleados son más propensos a utilizar herramientas o software que sientan que se adapta mejor a su trabajo sin que el departamento de IT lo sepa, esto puede crear riesgos desconocidos para la organización. Un equipo que es consciente de los riesgos de ciberseguridad, que toma decisiones orientadas a la seguridad proactivamente, que se preocupa por la ciberseguridad incluso cuando nadie está mirando, puede mitigar significativamente los riesgos de ciberseguridad y crear una organización ciber-resiliente. (Efecto de lo obvio en la construcción de la cultura en la ciberseguridad)
Estrategias para construir una cultura de ciberseguridad robusta.
- Construir soporte desde arriba
Este es uno de los pasos más importantes y uno de los primeros que se debe dar para construir una cultura de ciberseguridad. Es necesario que la organización distribuya recursos para esta iniciativa y cuente con el apoyo de los altos cargos para optimizar esta implementación. Es de suma importancia que la gestión entienda la necesidad de una cultura de ciberseguridad, sus beneficios y cómo puede reducir los gastos y aumentar la reputación a largo plazo. La participación de la alta dirección también les permitirá a otros empleados entender su importancia y los impulsará a acompañar la iniciativa. Una persona que abogue por la ciberseguridad entre los ejecutivos puede motivar a la organización en su totalidad para que perfeccione sus competencias de ciberseguridad. - Generar conciencia dentro de la organización
Los empleados que son conscientes del impacto de un incidente de ciberseguridad y conocen las medidas simples para evitarlos son más propensos a acompañar tus iniciativas. Si los colaboradores conocen el impacto de una potencial brecha, son mucho más propensos a cambiar su comportamiento para prevenir el peor escenario posible. - Recompensas, no castigos
La mayoría de los expertos en ciberseguridad están de acuerdo con que los castigos o una cultura de la vergüenza no es el camino correcto. Tal vez hayas notado que algunos miembros de tu organización pueden ser alarmantemente laxos en lo que respecta a las prácticas de ciberseguridad. Por tal motivo, es importante entender que el punto de construir una cultura de ciberseguridad es entender a estas personas y ayudarlas a corregir su rumbo. Si bien las acciones punitivas pueden darte resultados en el corto plazo, tu equipo no entenderá ni apreciará los objetivos y los resultados podrían desaparecer en cuestión de semanas. Recompensar el buen comportamiento es más probable que aliente la participación y tu equipo adopte una actitud positiva con este programa. - No la implementes y la abandones
La cultura de ciberseguridad no es algo que puedes implementar con solo uno o dos charlas, conferencias, seminarios o recordatorios en la oficina. Es un proceso continuo, un ciclo de implementación, medición, análisis y revisión de estrategias. Las amenazas están en constante evolución y debes mantener actualizadas tus estrategias para que tus empleados estén preparados. - Introduce tus iniciativas gradualmente
No intentes implementar todas las políticas de ciberseguridad de una vez. Empieza por algo pequeño y construye arriba de eso. El error más común es embarcarse en tareas imposibles, según el Dr. Gordon, CEO de TWOSENSE.AI, “Muchos equipos de seguridad intentan implementar todas las mejores prácticas de ciberseguridad a la vez en toda la organización. Y esa es la receta para el desastre. Lo único que producirá es que los usuarios se sientan agobiados ante los nuevos posibles inconvenientes y los equipos de seguridad queden saturados de trabajo para ajustar las nuevas políticas” - Arma a tus equipos con las herramientas correctas
Esto puede sonar como algo obvio, pero es una parte esencial para fomentar una cultura de ciberseguridad. Ayuda a tus equipos a internalizar estos conceptos entregándoles una herramienta que les permita mantener estos problemas al frente.
En Conclusión:
Para empezar, como una sugerencia en esas buenas prácticas para controlar lo “obvio” y facilitar la construcción de la cultura de ciberseguridad, parte de unir los equipos de Talento Humano, Seguridad y al equipo de Ingeniería de las IT en uno solo, ya que estos tres operan por separado dentro de la empresa por lo general.
El primer paso que se debería tomar esta en establecer las diferencias entre acciones, hábitos y comportamientos. Los hábitos son acciones repetidas y los comportamientos son una combinación de hábitos y acciones dentro de un contexto determinado.
El segundo paso es establecer objetivos de comportamiento. La finalidad es lo que el equipo quiera que los empleados hagan en una situación específica. Ya establecidos estos objetivos, el siguiente paso es entender el punto de partida e implementar medidas para cambiarlo. Un aspecto importante a la hora de implementar los objetivos es asegurarse que se puedan medir, Así podremos tener una visión correcta de lo OBVIO en nuestras organizaciones “Somos Cultura en la Ciberseguridad”.
Fuente: CARLOS ALFONSO BOSHELL NORMAN. (Efecto de lo obvio en la construcción de la cultura en la ciberseguridad)
