La importancia de una cultura de seguridad para mitigar riesgos asociados al negocio

Seamos realistas: vivimos en un mundo cada vez más digitalizado en el cual la ciberseguridad se ha vuelto no solo una inversión optativa, sino una necesidad y un factor diferencial competitivo. Con el aumento exponencial de las amenazas cibernéticas, organizaciones de todos los segmentos y tamaños están expuestas a amenazas digitales de todos los tipos, amenazas que conllevan riesgos que pueden terminar produciendo pérdidas financieras, daños a la reputación de la marca y sanciones regulatorias aplicadas por los órganos competentes responsables por las legislaciones vigentes. 

A lo largo de los últimos años, hemos presenciado un rápido e inesperado período de transformación digital acelerada, con un aumento significativo de la interconectividad y de la dependencia tecnológica. La práctica del trabajo remoto, popularmente conocido como home office, se ha vuelto normal. En este sistema, los colaboradores trabajan desde cualquier lugar y dispositivo. También se han pasado a adoptar nuevas infraestructuras tecnológicas para catapultar modelos de negocio desfasados.

Lógicamente, eso también aumenta el alcance de los ataques. Según un informe publicado por el FBI en 2020, las pérdidas financieras mundiales causadas por delitos cibernéticos superaron la marca de los 4.000 millones de dólares. Otra investigación realizada por IBM constató que el tiempo promedio para identificar y contener una violación de seguridad fue de 280 días y que el costo promedio total del incidente para cada organización afectada fue de 3,86 millones de dólares.

Implantando la ciberseguridad en tu organización

Aunque las soluciones tecnológicas cumplan un papel fundamental en la protección contra las amenazas cibernéticas, el factor humano sigue siendo uno de los principales aspectos a los que las organizaciones deben prestar especial atención cuando se trata de su seguridad. De acuerdo con el Informe de Amenazas Cibernéticas de Verizon de 2020, el 85% de las violaciones de seguridad se debieron a falla humana, incluyendo la no identificación de phishing, el uso de contraseñas débiles y una negligencia generalizada con respecto a las políticas de seguridad de la información.

Por eso, no hay dudas de que la alta dirección debe tratar la concienciación del factor humano como una decisión estratégica. Invertir en programas de concienciación en ciberseguridad y en entrenamientos regulares para los colaboradores es esencial para mitigar los riesgos que rondan tu organización. Sin embargo, como siempre lo recalcamos, ofrecer solo entrenamientos puntuales no es suficiente para crear una cultura de seguridad duradera, lo cual se requiere un trabajo continuo y a largo plazo.

Tips para crear una cultura de seguridad

Primero, dejemos de lado la vieja visión de que la ciberseguridad es una preocupación de las áreas tecnológicas: los líderes deben entender los riesgos, las implicaciones y los impactos financieros de una violación de seguridad. La ciberseguridad debe ser incorporada a la estrategia de negocios, debe estar alineada a los objetivos organizacionales y se la debe tener en cuenta en todas las tomas de decisión.

También es crucial desarrollar políticas de seguridad cibernética abarcadoras y comunicativas que definan las expectativas y responsabilidades de los colaboradores con respecto a la protección de datos y sistemas. Estas políticas deben ser fácilmente comprendidas y accesibles a todos; a fin de cuentas, no todos los colaboradores son capaces de entender términos técnicos u orientaciones descritas en un lenguaje empresarial.

Además, es necesario promover una cultura de seguridad que se disemine de manera horizontal. Para esto, es fundamental incentivar a los colaboradores a que relaten incidentes o actividades sospechosas, compartan buenas prácticas entre sus compañeros de trabajo y se involucren de manera activa en entrenamientos continuos. Así, tu programa de concienciación logrará alcanzar la tasa de compromiso deseada.