Madurez en los programas de concienciación sobre ciberseguridad: entiende el concepto y descubre lo que le puede decir sobre tu empresa
La madurez en los programas de concienciación sobre ciberseguridad puede decirnos mucho acerca de cómo la empresa invierte o no en la seguridad de sus datos, equipos, empleados y clientes, mostrándonos si existe una preocupación continua y a largo plazo o solo una medida para cumplir las exigencias de la legislación u otras normas de cumplimiento, sin un interés real en mejorar los hábitos que se producen dentro y fuera de su espacio.
Por lo tanto, es muy importante que aprendamos muy bien cómo funciona, cuáles son sus niveles de medición, qué puede explicar sobre las prioridades de la empresa y cómo puede impactar en la rutina corporativa.
Aprendiendo el concepto
La madurez en los programas de concienciación sobre ciberseguridad nos muestra cómo la empresa con la que tratamos ve e invierte en el área de la ciberseguridad a través de programas de concienciación. Esto es un poco obvio por su nombre, pero es importante que la entendamos muy bien, sobre todo porque la madurez es el elemento que nos mostrará cómo los programas de concienciación pueden o no ser eficaces, qué riesgos corre la empresa y qué importancia ella da a la seguridad de los datos de sus empleados y clientes, lo cual es de suma importancia, especialmente en tiempos de la LGPD en Brasil.
Para medir la madurez del programa de concienciación de cada organización, podemos utilizar el modelo de madurez del SANS¹, compuesto por cinco niveles que miden la eficacia, el alcance y los impactos de los programas de concienciación de seguridad cibernética.
Teniendo esto en cuenta, veremos cada uno de los niveles de madurez y cómo pueden mostrarnos la preocupación de las empresas por la seguridad cibernética en sus entornos físicos y virtuales.
Nivel 1 - No existente
A este nivel, la compañía no tiene nada. Es decir, no hay ningún intento por parte de la empresa de implementar medidas de concienciación de seguridad de ningún tipo, principalmente por falta de recursos o porque no se le da la debida importancia al asunto, visión equivocada, ya que las amenazas virtuales y reales contra las empresas crecen cada día más, como se puede comprobar, por ejemplo, por el aumento del phishing en 28% en el año 2019 (según una encuesta realizada por el proveedor Cyxtera)².
Una comparación sencilla para entender este nivel sería compararlo con el hábito de hacer deportes o actividades físicas. En este caso, la empresa sería "sedentaria" y, así como las personas que no tienen este hábito saludable son más propensas a adquirir ciertos problemas de salud o enfermedades, la empresa en cuestión termina siendo más vulnerable a los riesgos y amenazas, tanto en el ámbito de la seguridad virtual como en el de la física.
Afortunadamente, pocas empresas se encuentran en este nivel, especialmente con la implementación de nuevas leyes sobre seguridad de la información y ciberseguridad, como la GDPR en Europa y la LGPD³ en Brasil. Pero las empresas de este nivel pueden sufrir muchos problemas, como la pérdida de credibilidad por parte de los clientes, la vulnerabilidad de la información, las sanciones legales e incluso las pérdidas financieras por el riesgo de estafas virtuales, como las diversas extorsiones y los secuestros digitales.
Nivel 2 - Enfoque en conformidad
Pensemos en la siguiente situación: una empresa, después de recibir informes de los auditores por el uso indebido de datos y sistemas informáticos, decide implementar una nueva medida de concienciación sobre la seguridad cibernética. Con este fin, el establecimiento decide organizar una conferencia anual, con algún miembro del personal de TI, y enviar boletines informativos (newsletters) a los empleados mensualmente.
¿Puedes imaginarte la escena? Este es el escenario presente en el nivel 2. En este caso, la empresa suele estar interesada únicamente en el cumplimiento de las normas o leyes, sin querer necesariamente que haya una mejora en los hábitos diarios de los empleados. Además, solo puede haber la implementación de programas ad-hoc, es decir, para fines específicos, y no hay intentos de provocar un cambio en el comportamiento de los empleados y colaboradores de la empresa.
Como simplificación, podemos pensar en este nivel como una automedicación cuando tenemos un problema de salud, es decir, cuando tenemos un dolor de cabeza o acidez estomacal y solo tomamos un analgésico o una sal de frutas, sin preocuparnos por ir al médico y analizar si hay algún problema real con nuestro cuerpo o con nuestros hábitos de vida (como la comida, las actividades físicas y la hidratación).
Así, al igual que tomamos un remedio contra la gripe sin saber cuál es la causa de nuestra baja inmunización, algunas empresas también utilizan eventuales "medicamentos" para problemas localizados de ciberseguridad, aplicando medidas que no necesariamente suavizarán el cuadro de riesgos y amenazas, sino que solo presentarán soluciones temporales.
Lamentablemente, la mayoría de las empresas se encuentran en este nivel, principalmente debido a la falta de inversión en programas de concienciación sobre seguridad cibernética o a la falta de interés en obtener un resultado de seguridad a largo plazo, al seguir los requisitos mínimos de ciertas normas o legislación sobre ciberseguridad y seguridad de los datos.
Este hecho es preocupante, ya que, por un lado, podemos pensar que este nivel es incluso peor que el nivel 1, porque la empresa acaba teniendo la idea equivocada de que está haciendo algo por la seguridad de sus datos, información, establecimientos y empleados, cuando, en realidad, no tiene una solución eficiente y eficaz para sus problemas.
Nivel 3 - Promoción de la conciencia y del cambio
A medida que la compañía comienza a preocuparse más por los hábitos de sus miembros, se pasa al nivel 3. A este nivel, el objetivo principal es tener impactos y cambios en el comportamiento para reducir los riesgos en la empresa.
Muchas empresas no llegan a este nivel y permanecen estancadas en el nivel 2, principalmente debido a la mayor dificultad que se genera para realizar esta promoción de la conciencia y del cambio, que requiere una mayor planificación y un refuerzo continuo a lo largo del año.
Por lo tanto, el nivel 3 se centra más en presentar el contenido de la concienciación de manera comprometida y positiva, fomentando el cambio de comportamiento en el trabajo, en la vida personal y en los viajes de los miembros de la empresa. Como resultado, los empleados y los equipos conocen las políticas y los procesos de la empresa y pueden prevenir, reconocer e informar activamente sobre los incidentes.
Para entender mejor esto, podemos comparar este nivel con el intento de alguien de cambiar su dieta, pensando en adquirir una vida saludable y cambiar sus conductas alimenticias con el fin de traer beneficios e impactos a través de este cambio de conducta. Así, de la misma manera que alguien puede empezar a comer más frutas y legumbres diariamente para mejorar sus hábitos alimenticios, las empresas también pueden invertir en programas regulares y continuos para implementar un cambio en el comportamiento y así evitar futuras pérdidas y riesgos.
Nivel 4 - Sostenibilidad a largo plazo
A este nivel, como su nombre lo indica, la conciencia de la ciberseguridad se mantiene bajo un programa existente que promueve la conciencia y el cambio. Por lo tanto, la empresa se basa en el nivel 3, pero desea ir más allá, ya que su programa de sensibilización ya está más consolidado. Así pues, además de esta base, a este nivel se añaden procesos y recursos para un ciclo a largo plazo, que incluyen por lo menos un examen anual y una actualización continua de los contenidos de capacitación y los métodos de comunicación.
Como resultado, el programa de concienciación se convierte en parte de la cultura de la empresa, en que está siempre presente e involucrando a los empleados y equipos de la empresa, de modo que se convierte en algo casi automático por su parte. Así pues, este nivel puede compararse con una rutina fija de ejercicios físicos, en la que una persona ya no puede estar sin una carga semanal de estas actividades, ya que se han convertido en parte de su cultura y rutina, y es difícil para ella estar sin estas actividades.
Sin embargo, muchas empresas invierten en este nivel solo por un corto período de tiempo, como un año o un poco más. Pero si este programa no se revisa constantemente y se introduce en el entorno, la cultura de la ciberseguridad morirá y se perderán los beneficios, al igual que alguien que solo hace ejercicio regularmente durante un año y decide dejarlo de repente.
Por lo tanto, es necesario que la empresa tenga los recursos para un programa a largo plazo, que debe ser actualizado regularmente, ya que la tecnología, las leyes y los ciberdelincuentes están siempre adaptándose y cambiando.
Nivel 5 – Métricas robustas
En el último nivel de madurez, en los programas de concienciación sobre ciberseguridad, se encuentran todos los beneficios de los niveles anteriores, pero a ellos se pueden añadir ciertas formas de medir el progreso y el impacto del programa en cuestión, lo que da lugar a su mejora continua y a la posibilidad de demostrar el rendimiento de la inversión realizada por la empresa.
Este nivel se llama "métricas robustas", pero también se pueden hacer en niveles anteriores. El punto aquí es que hay un programa de medición formal, no un simple conteo de cuántas personas han hecho un cierto tipo de entrenamiento o cuántos boletines han sido enviados por la compañía, sino una medición del impacto del entrenamiento de concientización hecho por la compañía, también midiendo el cambio de comportamiento de todos los miembros de la empresa.
Por ello, se pueden utilizar algunas preguntas para ayudarnos a medir esto, como por ejemplo, ¿qué objetivos de aprendizaje han sido más o menos efectivos? ¿Tiene la empresa ciertos departamentos o unidades que son más vulnerables a los ataques de base humana que otros? ¿La empresa está evitando más ataques? ¿La empresa está detectando más incidentes? ¿Hay una reducción del riesgo?
Por lo tanto, este nivel puede compararse con tener hábitos rutinarios saludables y hacer algunos análisis de sangre de vez en cuando. Así, de la misma manera que el análisis de sangre puede medir los beneficios de una nueva dieta y ejercicio físico (como la reducción de los niveles de colesterol y glucosa en sangre, por ejemplo), el nivel de medidas también nos ayuda a medir el tamaño del impacto causado por esta nueva cultura de seguridad cibernética que se inserta en la empresa, explicando los beneficios y mejoras financieras causadas por este programa.
Conclusión
Por último, se concluye que la madurez en los programas de concienciación sobre seguridad cibernética es un concepto muy importante, que debería ser estudiado y aplicado por todos aquellos que tienen un interés en el mundo corporativo, especialmente aquellos que buscan implementar algún programa de concienciación sobre seguridad cibernética, pero no saben muy bien cómo hacerlo.
Una buena opción para adquirir un alto nivel de madurez en tu empresa y asegurarte de que tus empleados y colaboradores tengan una cultura en seguridad cibernética es Hacker Rangers, que, creado por Perallis Security, garantiza que el proceso de aprendizaje y el cambio de comportamiento sea divertido y eficiente a través de una plataforma 100% gamificada.
Así pues, invertir en la concienciación de la ciberseguridad acaba siendo no solo una inversión en sí misma, sino que también genera un rendimiento financiero y un impacto inmensamente positivo en la vida de todos los miembros de la empresa.
Fuentes:
1 - https://www.sans.org/security-awareness-training/blog/security-awareness-maturity-model
2 - https://www.itforum365.com.br/ataques-de-phishing-aumentaram-28-em-2019-revela-pesquisa/
3 - https://www.perallis.com/news/a-lgpd-vai-pegar-no-brasil
