Cómo garantizar un futuro seguro: informe sobre la preparación en materia de ciberseguridad

Capítulo 9: Mejora de la cultura de seguridad

No hay duda de que la implementación de las soluciones de ciberseguridad adecuadas es fundamental para hacer frente a las amenazas. Sin embargo, muchas organizaciones también necesitan realizar cambios en la cultura de su empresa. Desarrollar una cultura de ciberseguridad más sólida puede ayudar a combatir un número cada vez mayor de amenazas, y compensar los desafíos de la limitación presupuestaria, la escasez de talento y las prioridades contrapuestas.

¿Qué tipo de cambios culturales se requieren? Los responsables de seguridad deben, en primer lugar, mejorar la comprensión y la concienciación. Los usuarios deben entender cómo se producen los ataques, deben recibir formación sobre las técnicas de phishing y el robo de credenciales, así como sobre los ataques web, los ataques de denegación de servicio distribuido (DDoS) y las vulnerabilidades de día cero que pueden interrumpir la actividad de las empresas. Necesitan aprender a identificar los ataques y conocer la mejor forma de notificarlos al equipo de seguridad.

Al mismo tiempo, deben comprender la importancia de prevenir los ciberataques. Deben saber que los ataques exitosos pueden tener consecuencias de gran alcance, como daños a la reputación de la marca, pérdida de clientes y pérdidas financieras significativas.

Además, los usuarios necesitan entender por qué no deben instalar nuevas aplicaciones por su cuenta o encontrar formas de eludir las políticas de seguridad. Algunos usuarios expertos en tecnología pueden creer que es más sencillo y rápido resolver problemas técnicos aparentemente menores por sí mismos. Sin embargo, colaborar en las prácticas de Shadow IT, podría poner en grave riesgo a sus organizaciones.

Cuando los equipos de seguridad forman a los usuarios, deben dejar claro que la seguridad de la empresa es una responsabilidad compartida. Los usuarios suelen ser la primera línea de defensa contra las amenazas. Dotar a los usuarios con las herramientas necesarias para que identifiquen y notifiquen los incidentes puede desempeñar un papel clave en la prevención de fugas.

Lograr compartir la responsabilidad de la seguridad corporativa puede, en última instancia, aliviar algunos de los desafíos presupuestarios y de personal a los que se enfrentan muchas organizaciones. Por ejemplo, cuando los usuarios pueden identificar mejor los intentos de phishing, es menos probable que caigan en la trampa y revelen, sin darse cuenta, credenciales que abren las puertas a los delincuentes. Y un menor número de intentos de phishing exitosos reducirá el número de fugas que los equipos de seguridad deben abordar.

La mejora de la concienciación y la comprensión debe abarcar al equipo directivo y llegar a la sala de juntas. Cuando los responsables de la seguridad pueden sensibilizar a otros directivos y miembros del consejo de administración sobre la prevalencia de los ataques y el daño significativo que pueden causar, pueden recabar apoyos para implementar programas y políticas centrados en la seguridad, y conseguir la aprobación de mayores presupuestos destinados a la seguridad.

Mejorar la concienciación entre los directivos también puede ayudar a formar promotores del cambio — líderes influyentes que aboguen por cambios de actitudes y comportamientos en toda la empresa. Esta figura puede inspirar a los usuarios a interiorizar los valores de seguridad y adoptar políticas críticas.

Cuando una empresa tiene una sólida cultura de seguridad, los CISO pueden ser más proactivos. Pueden avanzar con las iniciativas de seguridad y reforzar la preparación, sin tener que esperar a que se produzcan incidentes.

La capacidad de desarrollar una cultura de ciberseguridad sólida puede tener beneficios reales y tangibles en materia de ciberseguridad. En el último estudio de investigación de Forrester, aproximadamente el 60 % de los encuestados afirmó que las mejoras en la cultura corporativa permitieron a sus equipos responder más rápido a los incidentes ocurridos el año pasado. Mientras muchas organizaciones luchan por reforzar la preparación para los próximos ataques, mejorar la concienciación y la comprensión entre los usuarios puede ser una de las mejores inversiones que pueden hacer.

Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.

CONCLUSIONES CLAVE

Después de leer este artículo podrás entender:

• Los resultados de la encuesta realizada a más de 4000 profesionales del campo de la ciberseguridad

• Las nuevas conclusiones sobre incidentes de seguridad, preparación y resultados

• Las consideraciones para que los CISO garanticen el futuro y consigan mejores resultados para su organización

Recursos relacionados

• Capítulo 8: Prioridades contrapuestas para avanzar en la preparación

• Capítulo 7: Limitación presupuestaria

• Capítulo 6: Crisis de profesionales

• Capítulo 5: La ineficacia de las soluciones específicas

• Capítulo 4: Preparación en materia de ciberseguridad

• Capítulo 3: Cómo proteger el trabajo híbrido

• Capítulo 2: Aumento de las ciberamenazas

• Capítulo 1: Introducción

• Cómo garantizar un futuro seguro: encuesta sobre la preparación en materia de ciberseguridad