Algunos días, abordar nuestras listas de tareas en el trabajo se siente como hacer malabares. De 9 a.m. a 5 p.m. – o incluso más tiempo – nos esforzamos entre reuniones y tareas para lograrlo todo. Navegando a través de un buzón de entrada desbordado, recibimos un correo electrónico de lo que parece ser un proveedor de confianza solicitando una actualización bancaria para una próxima factura. Rápidamente realizamos el cambio en nuestro sistema de facturación para dirigir el próximo pago a la nueva cuenta financiera. O, advertidos por un mensaje de texto entrante que una de nuestras contraseñas de trabajo pronto caducará, subimos rápidamente detalles sensibles a una plataforma para mantener nuestra cuenta activa.
Si estos escenarios suenan familiares, no estás solo. Las metidas digitales pueden – y lo hacen – suceder en el lugar de trabajo.
Hoy en día, más de la mitad de todas las brechas de seguridad se deben a errores humanos, según la Asociación de la Industria de Tecnología Informática. Si bien las empresas no pueden eliminar por completo tales errores, pueden capacitar a sus miembros del equipo para mitigar el riesgo y mejorar la resiliencia organizacional.
¿Cómo? Construyendo una cultura de ciberseguridad. La Escuela Sloan de Administración del Instituto de Tecnología de Massachusetts define la cultura de ciberseguridad como un entorno laboral en el que cada empleado adopta actitudes y creencias que impulsan un comportamiento digital seguro. El Instituto Nacional de Normas y Tecnología lo enmarca de manera más sencilla: Los miembros del equipo adoptan la ciberseguridad como «buen negocio» y reciben la formación y herramientas para tomar decisiones acertadas.
¿Cómo pueden las empresas lograr ese cambio fundamental en los valores, actitudes y creencias de los empleados sobre la ciberseguridad? Empieza con un cambio de mentalidad en la cúpula.
El liderazgo debería apoyar a los empleados para convertirse en un «muro de fuego humano» equipándolos con el conocimiento y la confianza para actuar sabiamente. Los líderes deberían ser transparentes con sus compañeros de equipo sobre las amenazas digitales y ser abiertos – dentro de lo razonable – sobre los incidentes si o cuando ocurran. Tan importante como eso, los ejecutivos y la alta dirección deberían asegurar que los empleados se sientan seguros al plantear preocupaciones sin temor a represalias. El silencio es a menudo lo que convierte un problema pequeño como un click accidental en un gran fracaso de seguridad. Alentar a los miembros del equipo a señalar incidentes potenciales más pronto puede mitigar las consecuencias de una brecha.
Contrario a la opinión popular, una cultura de ciberseguridad no puede surgir de un solo entrenamiento anual. Por eso, el liderazgo de la empresa debería enfocarse en hacer de la ciberseguridad una parte rutinaria de las conversaciones en el lugar de trabajo. Eso podría parecer incrustar recordatorios oportunos en reuniones semanales de equipo, compartir actualizaciones rápidas en plataformas de trabajo colaborativo como Slack o fomentar discusiones informales sobre amenazas cibernéticas emergentes. El objetivo de tales discusiones no es la perfección sino la conciencia constante. Cuando las empresas tratan la ciberseguridad como un valor corporativo central, los empleados a menudo siguen el ejemplo.
Los líderes también deben reconocer que invertir solo en tecnología no fomentará la resiliencia de la ciberseguridad. Con demasiada frecuencia, las empresas sucumben a la presión de los proveedores externos para acumular herramientas preventivas, asumiendo que compras adicionales equivale a más protección. En realidad, esas inversiones pueden ralentizar los sistemas y perturbar las operaciones, dificultando en última instancia la capacidad de los empleados para desempeñar eficientemente sus trabajos. Como señaló la ciberseguridad en MIT Sloan, las empresas terminan poniendo «tantos recursos en ‘cerrar con llave’ utilizando tecnología que olvidan las puertas traseras en la organización» que dan a los ciberdelincuentes una base en sus sistemas.
En cambio, las empresas deberían trabajar con un socio experto para buscar soluciones de alto valor. Un profesional experimentado en ciberseguridad puede ayudar a las empresas a entender sus vulnerabilidades y diseñar controles dentro de un marco de ciberseguridad integral para identificar, proteger, detectar, responder y recuperarse de amenazas. También pueden esbozar procesos como medidas de seguridad verificadas de múltiples etapas para transacciones financieras para reducir la probabilidad de que un solo error se convierta en una costosa brecha.
Dicho esto, las empresas también deben ver la ciberseguridad como una responsabilidad compartida. Un profesional puede proporcionar asesoramiento, pero solo el liderazgo empresarial entiende los matices de las operaciones de la empresa y cómo eso puede afectar la implementación de ciertos procesos. Ambas partes deben estar involucradas en el proceso desde el principio hasta el final para asegurar que los controles seleccionados se alineen con el panorama de amenazas de la empresa y se integren finalmente en los flujos de trabajo.
Finalmente, las empresas deben mantenerse adaptables. Las amenazas cibernéticas están en constante cambio. Los líderes deben entender que un control o proceso que funciona hoy puede ser ineficaz mañana. Las entidades deben estar dispuestas a pivotar. Afortunadamente, una base sólida hace que sea mucho más fácil y a menudo mucho más barato ajustarse cuando sea necesario que reconstruir desde cero si ocurre una brecha.
En el paisaje digital siempre cambiante de hoy, los errores están destinados a ocurrir. Como suelo decir, para construir resiliencia cibernética, no tienes que ser la persona más rápida huyendo del oso. Simplemente no quieras ser el más lento. Al tomarse el tiempo para comprender las vulnerabilidades, asociarse con un experto y capacitar a los empleados para reducir el riesgo, las empresas pueden crear una cultura de ciberseguridad que apoye una toma de decisiones más informada.
Chris Wright es cofundador y socio de Sullivan Wright Technologies, una empresa con sede en Arkansas que ofrece servicios de ciberseguridad, tecnología de la información y cumplimiento de seguridad.
LEER TAMBIÉN: Jefe LIT: Nuevo Director Ejecutivo en el Nacional Clinton Habla de Liderazgo, Recompensas y Relaciones
(Coruñes)
