COMENTARIO
“Debajo de cada historia simple y obvia sobre el 'error humano', hay una historia más profunda y compleja sobre la organización”.
— Sidney Dekker, La guía práctica para comprender el error humano
En mi experiencia, la cultura triunfa sobre la estrategia a la hora de construir y mantener ciberdefensas sólidas. Es una verdad evidente que en la ciberseguridad todos los caminos conducen a las personas. En esencia, la seguridad es un problema humano que necesita una solución centrada en el ser humano. Eso es lo que hace que la cultura sea tan crucial.
Suele decirse que no es la situación la que nos define sino cómo respondemos. Si sucede lo peor y su empresa sufre una brecha, su cultura de seguridad estará en el escenario global. Será su estrella del norte que guiará su forma de comunicarse, involucrarse y responder a todas las partes interesadas. Si tu falta cultura, inhibirá su madurez cibernética a largo plazo y fracturará las relaciones de confianza. La confianza y la seguridad existen en un delicado equilibrio, y la cultura es el pegamento que las une.
Durante mi carrera he aprendido lecciones valiosas sobre los pilares fundamentales de cultura de seguridad y cómo no sólo crear uno bueno, sino también nutrirlo.
1. Establezca la mentalidad adecuada
Primero, la mentalidad importa. He trabajado con organizaciones donde la atención se ha centrado en todo lo que un empleado no puede o no debe hacer. Seamos honestos: esa es una lista abrumadora que, incluso con las mejores intenciones, la gente no recordará ni podrá integrar prácticamente en sus días laborales. En lugar de eso, sugiero cambiar el guión: ¿cuáles son las acciones positivas que la gente puede y debe tomar?
Por ejemplo, si alguien en Secureworks recibe un correo electrónico del que no está seguro, puede enviarlo a nuestro equipo de amenazas designado para que lo investigue. Luego, el equipo de amenazas regresa para informarle a nuestro compañero de equipo si está bien. De todos modos, el equipo de amenazas siempre comienza su respuesta con las mismas dos palabras: “gracias”. La ciberseguridad es un deporte de equipo y cada uno de nosotros desempeña un papel. Es importante reconocer eso en todas sus formas. Ese “gracias” también alienta a permanecer curioso y alerta.
2. Interactuar con empatía
Una cultura de seguridad productiva e inclusiva es aquella que evita la culpa. Una cultura de la culpa es contraproducente y hace que tus compañeros de equipo se sientan impotentes, exactamente lo contrario de cómo quieres que se sientan. Si alguien hace clic, escanea o interactúa con algo que no debería, debe saberlo lo antes posible. Si su cultura señala con el dedo y hace que la gente se sienta avergonzada, lo más probable es que pospongan la hora de contárselo o no le digan nada, y lo primero que se dará cuenta será cuando las luces rojas empiecen a parpadear. Los ciberdelincuentes se aprovechan de las personas, así que no duplique el impacto avergonzando a las víctimas o dando ejemplo a la persona. En lugar de ello, céntrese en lo que pueden aprender colectivamente del incidente para enriquece tu estrategia cibernética para el futuro.
3. Comunicar, comunicar, comunicar
Cuando se trata de ciberseguridad, nunca existe demasiada comunicación. El hecho de que haya enviado un correo electrónico o haya mencionado algo en una reunión general de la empresa no significa que el mensaje haya llegado. La gente tiene muchas cosas que hacer en sus trabajos y vidas. Conozca a las personas donde están y obtendrá resultados mucho mejores.
En primer lugar, haz una auditoría de los canales de comunicación que tiene tu negocio (intranet, Viva Engage, Slack, Teams, correo electrónico, reuniones de equipo y empresa, etc.) y diseña una estrategia de comunicación. ¿Qué mensajes resuenan mejor en qué canales? Si está brindando una actualización sobre una iniciativa estratégica, un espacio de 10 minutos en la reunión de todos los miembros de la empresa podría ser el foro adecuado. Pero si tiene conocimiento de una campaña activa de correo electrónico de phishing QR, es probable que desee llegar a todos los empleados lo más rápido posible, por lo que puede utilizar una combinación de correo electrónico y foros de mensajes internos.
No se trata sólo de hacer coincidir el mensaje correcto con el canal correcto, sino también con la persona. Si yo fuera la única persona que hablara con nuestros compañeros de equipo de Secureworks sobre ciberseguridad, sería fácil desconectarme. Por eso empoderamos a todos líderes para hablar sobre seguridad en sus reuniones de equipo y por qué nuestro CEO subraya nuestras inversiones en este ámbito durante las reuniones de empresa. Diferentes personas aportan diferentes perspectivas y eso es crucial para transmitir la importancia de la ciberseguridad.
4. Manténgase alerta
Las tecnologías nuevas y emergentes traen oportunidades y desafíos. La inteligencia artificial (IA) generativa, por ejemplo, puede ofrecer ganancias de productividad a los compañeros de equipo. Pero si no se crea un lugar seguro para ellos, desarrollarán sus propias formas de acceder a estas herramientas y de interactuar con ellas. Esto, nuevamente, se refiere a conocer a las personas donde están. Hemos facilitado la interacción y el uso de la IA dentro de un entorno seguro que hemos creado. Es una situación en la que todos ganan.
El panorama de amenazas evoluciona rápidamente. Los deepfakes, por ejemplo, son cada vez más avanzados y, por tanto, tienen el potencial de causar daños. Por lo general, cultivan un falso sentido de urgencia destinado a asustar a la gente para que tome medidas, como transferir una gran cantidad de dinero. Los ciberdelincuentes buscan manipular la dinámica entre el ejecutivo al que se hacen pasar y el empleado. Por eso es tan importante que animemos a las personas a cuestionar la situación y les brindemos acceso a herramientas simples que les permitan validar la identidad de la persona con la que están hablando.
La ciberseguridad es un deporte de equipo
Lo que he descrito anteriormente no sucede de forma aislada. Debe trabajar en muchas funciones diferentes dentro de la empresa, desde recursos humanos y comunicaciones hasta asuntos legales y más. Sea claro acerca de su objetivo compartido con estos equipos: por qué le gustaría su apoyo y el impacto que cree que tendrá el trabajo conjunto. Comparta sus planes y muéstreles por qué sus equipos son tan importantes para el éxito del plan. Un objetivo compartido galvaniza todo el negocio.
Y así nos encontramos de nuevo en el principio, con confianza y seguridad. Una buena cultura de ciberseguridad confía y empodera a los compañeros de equipo para tomar buenas decisiones. A su vez, esa confianza impulsa una relación más productiva entre la ciberseguridad y la empresa. La cultura es una entidad viva que necesita ser nutrida continuamente. Dale la dedicación que necesita y, como resultado, tus negocios estarán más seguros.