Durante muchos años, las “personas” han sido etiquetadas como la barrera para la seguridad cibernética. Sin embargo, esta generalización es una afirmación injusta. Cada vez que surge el concepto de ciberseguridad en el lugar de trabajo, muchos empleados creerán que la ciberseguridad es una cuestión tecnológica y no algo que deba preocuparles. Otra suposición es que el equipo de TI se encargará del problema. Esta suposición conduce a comportamientos potencialmente inseguros y es necesario abordarlos para mantener segura a toda la organización, reducir la huella de riesgo y proteger las áreas sensibles. datos. Está bien documentado que los datos se consideran el elemento vital de una empresa. Sin embargo, debido a que el consumo de datos confidenciales está aumentando, este aumento va a la par con la cantidad de ciberataques y filtraciones que estamos viendo.
Defensor principal de la concienciación sobre la seguridad en KnowBe4.
El estado actual de la ciberseguridad
Las estadísticas muestran que el número de violaciones de datos llegó a casi 3000, con más de 8 mil millones de registros violados en 2023. Esto resultó en que el costo promedio global de una violación de datos alcanzara un récord de 4,45 millones de dólares. Sin embargo, el gasto mundial de los usuarios finales en seguridad y se proyecta que la gestión de riesgos totalizará 215 mil millones de dólares en 2024, un aumento del 14,3% con respecto al año pasado.
Además, el Informe de violaciones de datos de Verizon de 2024 reveló que el 68% de las violaciones, ya sea que incluyan a un tercero o no, involucran un elemento humano no malicioso, que se refiere a una persona que comete un error o es víctima de un ataque de ingeniería social. Esta estadística es bastante reveladora porque refuerza el hecho de que incluso si se cuenta con la mejor tecnología de seguridad del mercado, no hay garantías de que no ocurra un incidente cuando hay humanos involucrados. Por este motivo, se deben hacer esfuerzos para centrarse en mejorar el aspecto humano de la seguridad para promover comportamientos seguros entre los empleados.
La cultura de seguridad y sus elementos centrales.
Una de las estrategias clave para fomentar prácticas seguras dentro de las organizaciones es fomentar deliberadamente una cultura de seguridad sólida. Esto abarca las creencias, prácticas y dinámicas interpersonales colectivas que dan forma a los protocolos de seguridad. Lograr una cultura de seguridad sólida depende de que los empleados internalicen sus roles y obligaciones para salvaguardar no solo sus dominios profesionales, sino también sus ámbitos. Dar prioridad a la mejora de la cultura de seguridad mejora la preparación de una organización, empoderando a las personas para que sirvan instintivamente como un mecanismo de defensa proactivo.
Para comprender qué elementos influyen en la cultura de seguridad es necesario conocer sus siete dimensiones centrales:
1. Actitud: Esto se refiere a los sentimientos y creencias de los empleados hacia los protocolos y preocupaciones de seguridad.
2. Comportamiento: Se refiere a las acciones y actividades de los empleados que impactan la seguridad de la organización, ya sea directa o indirectamente.
3. Cognición: Esto implica la comprensión, el conocimiento y la conciencia de los problemas de seguridad entre los empleados.
4. Comunicación: Denota la calidad de los canales de comunicación utilizados para discutir eventos de seguridad, fomentar un sentido de pertenencia y ofrecer apoyo en asuntos relacionados con la seguridad y notificación de incidentes.
5. Cumplimiento: Esta dimensión evalúa la familiaridad de los empleados con las políticas de seguridad escritas y el grado en que las cumplen.
6. Normas: Se refiere al conocimiento y cumplimiento de reglas de conducta no escritas dentro de la organización.
7. Responsabilidad: Esta dimensión mide cómo los empleados perciben su papel en mantener o comprometer la seguridad de la organización.
Cultura de seguridad en Europa
Las organizaciones que prioricen el establecimiento y mantenimiento de una cultura de seguridad fomentarán comportamientos de concientización sobre la seguridad notablemente elevados entre sus empleados. Al examinar esto más a fondo, las investigaciones han demostrado que las organizaciones en Europa tienen una buena comprensión de la cultura de seguridad como proceso y como medida estratégica. Sin embargo, muchos aún tienen que dar sus primeros pasos tácticos para lograr ese objetivo. Quienes lo han hecho se dan cuenta de que moldear comportamientos de seguridad es esencial para desarrollar una cultura de seguridad. Estas organizaciones reconocen que en una cultura de seguridad proactiva, los empleados tienen una comprensión inherente de que el comportamiento de seguridad se extiende más allá de participar en suplantación de identidad Simulaciones: los empleados están intrínsecamente motivados para contribuir a la postura de seguridad de sus respectivas organizaciones.
Profundizando, las organizaciones europeas más pequeñas obtienen puntuaciones más altas en cultura de seguridad debido a una comunicación personal más efectiva, vínculos comunitarios más fuertes y un mejor apoyo a las cuestiones de seguridad. Esto naturalmente conduce a una mejor cognición y cumplimiento, con mejoras en los canales de comunicación que se postulan como un factor clave para una mejor comprensión de las políticas de seguridad y comportamientos de seguridad proactivos que superan los promedios globales. Al realizar un examen de qué industrias mostraron la mejor cultura de seguridad en Europa, ciertamente está ganando terreno entre los expertos en seguridad dentro de sectores como finanzas, banca y TI, todos ellos muy digitalizados. De hecho, la concienciación sobre la seguridad ya no se entiende como un ejercicio de casilla de verificación para satisfacer los requisitos de cumplimiento. Se considera cada vez más una iniciativa estratégica para fomentar una mentalidad de seguridad en la organización.
Impacto de las regulaciones de la UE
Si se tiene en cuenta que hay 44 países soberanos con un total de 746 millones de habitantes, se trata de un gran número de víctimas potenciales a las que los piratas informáticos pueden apuntar con ingeniería social. Por esta razón, todos deben ser parte de la defensa, particularmente ahora que la legislación y la regulación de la UE imponen más exigencias a las empresas.
En primer lugar, el RGPD tuvo una influencia global al priorizar los intereses individuales en el manejo de datos. Ahora, las regulaciones específicas del sector, como la directiva de seguridad de la información y las redes (NIS2), imponen estrictos estándares de ciberseguridad y responsabilizan a las juntas directivas de la ciberseguridad organizacional y la seguridad de la cadena de suministro. A continuación, la Ley de Resiliencia Operacional Digital (DORA), que entrará en vigor a partir de enero de 2025 y está dirigida a instituciones financieras, exige una rápida recuperación de los ciberataques y capacitación de los empleados. Además, la Ley de IA de la UE, cuya entrada en vigor está prevista para 2025, clasifica el riesgo de IA e impone multas sustanciales en caso de incumplimiento.
Una gobernanza exitosa de la ciberseguridad requiere estrategias unificadas, procesos estandarizados, responsabilidad clara y recursos adecuados, garantizando que el cumplimiento no sea simplemente una formalidad sino un marco de seguridad sólido.
Cómo lograr una cultura de seguridad adecuada
Para lograr una cultura de seguridad adecuada dentro de su organización, concéntrese en dos o tres comportamientos de alto riesgo para el cambio; existen encuestas gratuitas sobre cultura de seguridad para ayudar a evaluar la postura actual al respecto como punto de partida. Es crucial que las metas, estrategias y objetivos de la organización estén alineados con esta misión y así desarrollar un plan para influir en los comportamientos utilizando tanto mecanismos formales como modelos de liderazgo informales. Garantice una comunicación clara adaptada a las diversas preferencias y asegure el respaldo ejecutivo para solidificar el apoyo. Ejecutar el plan con metas y tiempos definidos, manteniendo canales de comunicación abiertos. Evalúe el progreso a través de encuestas posteriores y comparta los hallazgos con el liderazgo. Solicitar aportes de las partes interesadas para perfeccionar las estrategias continuamente. Manténgase proactivo frente a las ciberamenazas en evolución y sea flexible para adaptarse y reaccionar a los objetivos comerciales en consecuencia.
Para concluir, comience el viaje hacia la construcción de una cultura de seguridad sólida con una mentalidad positiva y confianza porque, al tomar estos pasos, allanará el camino para un cambio a largo plazo en la conciencia y preparación de su fuerza laboral respecto de la seguridad.
Hemos presentado la mejor protección contra el robo de identidad.
Este artículo se produjo como parte del canal Expert Insights de TechRadarPro, donde presentamos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no son necesariamente las de TechRadarPro o Future plc. Si estás interesado en contribuir, descubre más aquí: https://www.techradar.com/news/submit-your-story-to-techradar-pro
