¿Cómo crear una cultura organizacional cibersegura?
Cada 6 de febrero se celebra el Día Internacional de Internet Segura, fomentando el uso responsable de la web y el cuidado contra las ciberamenazas. Para una organización es esencial contar con medidas adecuadas para protegerse de estas, pero muchas veces se suele descuidar el factor humano y la forma en que este, puede llevar a una brecha de Ciberseguridad.
Samantha Nanne, Gerente de Cultura en SISAP, destaca la importancia de desarrollar habilidades y conocimientos de ciberseguridad dentro de la cultura organizacional. “Al capacitar a nuestros colaboradores en el uso seguro del internet, no solo los ayudamos a identificar de mejor forma cualquier amenaza, si no que disminuimos el riesgo de sufrir un ataque cibernético dentro de la organización”, puntualizó.
El eslabón más débil en ciberseguridad: el humano
De acuerdo al reporte DBIR 2023 de Verizon, el 74% de las brechas de ciberseguridad incluyen el factor humano, generalmente por un error cometido por el usuario que compromete la seguridad de toda la organización. Con tan solo hacer clic a un enlace malicioso desde la computadora del trabajo, por ejemplo, se le da acceso al ciberdelincuente no solo a la información del colaborador, si no a los datos de la empresa.
Los métodos para llevar a cabo un ciberataque han estado en constante evolución, especialmente con las nuevas tecnologías, por lo que se vuelve cada vez más difícil para el individuo detectar y escapar de este tipo de amenazas. Para poner en perspectiva, según el reporte ICR 2022 del FBI, el Centro de Quejas de Delitos en Internet (IC3) recibió ese año más de 21 mil denuncias de compromiso de correo electrónico empresarial, causando pérdidas sobre $2.7 billones.
Recomendaciones para crear una cultura organizacional cibersegura
En búsqueda de disminuir el riesgo que presenta el factor humano a las empresas, Nanne comparte algunas recomendaciones a través de las cuales es posible fomentar la ciberseguridad y concientizar sobre su importancia dentro de la cultura organizacional:
- Iniciar con los líderes de equipo:
El objetivo final es fomentar una cultura organizacional cibersegura en toda la organización, pero es importante iniciar este proceso de forma gradual, empezando por los líderes de equipo y los altos mandos de la empresa. Responsabilizar a cada líder de velar por la seguridad de su equipo de trabajo ayudará a facilitar la distribución y aplicación de las medidas de ciberseguridad.
- Llevar a cabo ejercicios de phishing:
El phishing (correos maliciosos, mensajes de texto fraudulentos, etc.), es de las amenazas más comunes para la ciberseguridad. Se recomienda capacitar a los colaboradores por medio de ejercicios, enviándoles periódicamente un correo o mensaje simulando uno de phishing, con el fin de probar las habilidades de cada individuo en identificar estas amenazas. Nanne recomienda que con aquellas personas que fallen el ejercicio, se podrán determinar áreas de mejora para evitar que sean víctimas en una situación real.
- No sobrecargar de información al individuo:
El uso de mensajes cortos y concretos para capacitar a los colaboradores en medidas de ciberseguridad es esencial para su máxima comprensión. Mientras más grande la información que se presente, menor será la atención y retención de la persona. En cambio, al transmitirlo de forma resumida y paulatinamente, la retención y aplicación de la información será mejor.
- Utilizar casos de la vida real como ejemplo:
Las historias reales de empresas que han sufrido ataques cibernéticos debido al descuido de un individuo son una forma ideal de transmitir la importancia de mantener una cultura organizacional cibersegura a los colaboradores. Con esto, se dará a comprender las consecuencias que puede ocasionar caer en un engaño, así como las medidas de protección que se utilizaron en casos donde se logró evitar un ataque.
- Motivar por medio de un sistema de recompensa:
Se recomienda la aplicación de un sistema de recompensa, con el fin de motivar a los colaboradores a seguir desarrollando buenas prácticas de ciberseguridad, especialmente aquellos que superen con éxito los ejercicios de prueba. Esto servirá también como motivación para los colaboradores que no han aplicado estas medidas, llevándolos a esforzarse para conseguir una recompensa también.
“El principal objetivo con estas recomendaciones debe ser fomentar un hábito de ciberseguridad dentro de cada colaborador, creando una cultura organizacional cibersegura”, aclara Nanne, “los humanos siempre regresamos a cometer los mismos errores, por lo que se deben realizar estas capacitaciones y ejercicios periódicamente para lograr cambiar la mentalidad de cada individuo y evitar que este sea víctima de una ciberamenaza”.