alphaspirit - Fotolia
Una cultura de riesgo puede fortalecer al eslabón humano de la ciberseguridad
Fortalecer el elemento humano de una estrategia de ciberseguridad desde diferentes perspectivas fue el enfoque de un panel, organizado por Dell Technologies, compuesto por un experto en neurociencias y líderes de organizaciones de banca, TI y educación.
Aunque la gran mayoría de los líderes empresariales (85 %) en América Latina considera que su capital humano es su mayor activo –fundamental para el desarrollo del negocio–, cuando se trata de ciberseguridad, los empleados siguen representando el mayor desafío en las estrategias de ciberseguridad. De hecho, más de la mitad del liderazgo empresarial (55 %) considera al factor humano como el eslabón más débil en la defensa ante ciberataques, según refiere el estudio Breakthrough, realizado por Dell Technologies.
En este escenario, si tomamos la premisa de que la ciberseguridad es la garantía para la sostenibilidad de la transformación digital en las organizaciones, Dell Technologies organizó el think tank “Ciberseguridad: Miradas desde el ADN” para entender cómo responden las personas al contexto actual de incertidumbre y el “asecho” de ciberdelincuentes. En la discusión participaron Estanislao Bachrach, biólogo molecular, consultor en creatividad, innovación y biotecnología; Guillermo Garrido, director de Habilitación de TI en el Tecnológico de Monterrey; Eddy Fortoul Cavicchioni, VPA de Ciberseguridad de Banco General Panamá; y Luis Gonçalves, presidente de Dell Technologies Latinoamérica.
Ciberataques, la gran amenaza en la era de los datos
De acuerdo con el estudio de Dell, cada 11 segundos se produce un ataque cibernético o de ramsomware exitoso, y el costo promedio por ataque cibernético para las organizaciones puede llegar a los 13 millones de dólares. Para el 84 % de los líderes de TI, prevenir la pérdida de datos por ciberataques es más desafiante en los entornos de trabajo remoto, mientras que 70 % de los ataques a la ciberseguridad se genera por fallos de comportamiento a nivel del usuario final.
Estalinao Bachrach explicó que, ante un estado de asedio y/o riesgo, los grupos humanos experimentan emociones displacenteras que activan por lo menos tres tipos de reacciones: quienes se muestran apáticos ante los riesgos y no se involucran en los cambios; quienes niegan la posibilidad de ser víctimas de las amenazas; y quienes se comprometen con las acciones de reparación o transformación de la realidad.
“En la era de los datos, los ataques a la ciberseguridad constituyen una amenaza de impacto sin precedentes que exige a los directivos el desarrollo de un cambio cultural que debe ser planificado, con metas específicas, con plazos que pueden tomar de tres a cinco años para evidenciar señales de transformación y siempre que la empresa sepa seleccionar el liderazgo generalista que aglutine el mayor número de voluntades en la empresa”, afirmó Bachrach.
El biólogo explicó que debido al tiempo que le lleva a las personas incorporar cambios reales en la cultura de ciberseguridad de la organización, los líderes deben considerar realizar uno o dos cambios por año para que realmente haya un impacto duradero.
Reconocimiento de los riesgos
Afianzar el reconocimiento de los riesgos personales y corporativos tras un ciberataque es clave en el desarrollo de una cultura organizacional de ciberseguridad. Eddy Fortoul Cavicchioni afirmó que los efectos de un ciberataque no solo tocan la integridad operativa del negocio, sino que vulneran la integridad y seguridad de datos críticos para todo el ecosistema de una empresa (clientes, colaboradores, proveedores, directivos y accionistas) y su reputación en el mercado.
“Es fundamental que el impulso de una cultura en ciberseguridad parta del reconocimiento y la educación de los factores de riesgos a lo que estamos expuestos, así como de la educación constante en torno a las mejores prácticas de protección. Yo lo veo como un proceso similar al que hemos adoptado con el uso del cinturón de seguridad al conducir un automóvil. Generaciones anteriores a las nuestras ni siquiera lo utilizaban, pero la constancia y compromiso de la sociedad hizo conciencia sobre los beneficios de este dispositivo para nuestra seguridad al volante. Cosa similar debemos impulsar para que todos nuestros colaboradores sepan identificar un correo malicioso, por ejemplo”, comentó Fortoul.
Ante esta aproximación, Guillermo Garrido, llevó la analogía del cinturón de seguridad a lo que fue la adopción de una cultura de seguridad en los entornos producción industrial. “Debemos ser conscientes del hecho de que 98 % de los ataques a la ciberseguridad de las organizaciones parten de un error humano interno. La clave para el cambio en estos dos referentes ha estado en una estrategia de capacitación de los usuarios, de adiestramiento de todos los públicos y de persistencia en la comunicación de los valores de la nueva cultura organizacional. [Hay que ser] conscientes de que la persistencia es de largo aliento, y que implica el despliegue de distintas fórmulas pedagógicas que incentiven, motiven el cambio”, afirmó Garrido.
Luis Gonçalves, presidente de Dell Technologies Latinoamérica, concordó que, ante las amenazas crecientes, las empresas deben armar a sus empleados con el conocimiento adecuado y la comprensión de cómo pueden ayudar a frustrar a los ciberdelincuentes si siguen los requisitos de seguridad que su organización ha establecido. Igualmente, destacó que para Dell la seguridad está presente desde la concepción de las plataformas de infraestructura y equipamiento que todos sus miembros y clientes usan.
“La amenaza interna del comportamiento humano es uno de los aspectos más difíciles de controlar en materia de seguridad. Construir una cultura de ciberseguridad dentro de una organización guía el comportamiento de los empleados y aumenta la resiliencia cibernética. Una cultura de ciberseguridad subyace en las prácticas, políticas y ‘reglas no escritas’ que utilizan los empleados cuando realizan sus actividades diarias. Pero también debe ser constituida en un clima de trabajo en equipo y con un liderazgo comprometido”, subrayó Gonçalves.
Finalmente, los expertos consideraron los desafíos que enfrentan las pequeñas y medianas empresas para la construcción de una cultura de ciberseguridad. El primero es que muchas no cuentan con la información real sobre su estado de vulnerabilidad y exposición, y el segundo es la menor cantidad de medios para sustentar una estrategia de cambio cultural.
En este sentido, los panelistas consideraron primordial que las pymes adopten conciencia y conocimiento sobre los riesgos a los que todos estamos expuestos, y lo crítico que puede ser para el negocio ser víctima de un ciberataque. Igualmente, recomendaron acercarse a las asociaciones empresariales, gremios e instituciones de apoyo oficial como un primer paso para solicitar orientación y así poder activar el cambio interno hacia una cultura de resiliencia en materia de ciberseguridad.