¿Cómo mejorar la Cultura de Ciberseguridad?





Un estudio realizado por el estudiante de ingeniería Ata Hakçıl arrojó que 123456 es la contraseña más común y más reutilizada en los últimos cinco años, repitiéndose más de siete millones de veces, lo que significa que una gran parte de la información privada del planeta está al alcance de un pirata informático.

De las más de mil millones de credenciales analizadas solo el 8.83% eran contraseñas únicas; es decir, que no se repiten.

Esto también significa problemas para las empresas. Si tan pocas personas aplican protocolos de seguridad adecuados en sus vidas personales, ¿cómo pueden las empresas con cientos o miles de empleados asegurarse de que cada uno de ellos mantenga segura la información de la empresa?

En general, la cultura de seguridad puede considerarse como una serie de creencias relacionadas con la seguridad de un grupo u organización y los comportamientos que se derivan de esas ideas.

Por ejemplo, una buena cultura de seguridad es aquella en la que la organización en su conjunto cree en la importancia de la ciberseguridad, utiliza software de facturación seguro y aplica políticas sobre contraseñas seguras. En cambio, una cultura de seguridad deficiente sería aquella en la que el CEO denuncia las prácticas de ciberseguridad como una pérdida de tiempo y dinero y permite a los empleados enviar contraseñas por correo electrónico sin cifrar.

Según una investigación reciente, los factores que afectan la cultura de seguridad se pueden dividir en gran medida en cuatro subcategorías principales: 


  • Cumplimiento de la política de la compañía.
  • Dinámica intergrupal.
  • Comportamiento de correo electrónico
  • Comportamiento de contraseña.


¿Cómo mejorar el cumplimiento de la política de la compañía?

En la actualidad, muchas organizaciones tienen algún tipo de política de la compañía sobre las mejores prácticas de seguridad cibernética. Desafortunadamente, se estima que más de la mitad de todas las violaciones de seguridad de la compañía son el resultado directo de que un empleado no cumple con la política de la compañía, no la falta de una política estricta en primer lugar.

En general, aumentar el cumplimiento entre los empleados es una tarea difícil, pero existe evidencia de que la mejor manera de lidiar con los problemas de cumplimiento parece ser asegurar que los empleados se sientan satisfechos con su trabajo y dejar en claro que la seguridad cibernética es una prioridad para la empresa. De esta manera, los empleados, supervisores y otros trabajadores tienen más probabilidades de ver la ciberseguridad como una parte central del trabajo que disfrutan y, en consecuencia, cumplir con la política de la compañía.


¿Cómo mejorar la dinámica intergrupal?

La dinámica intergrupal se refiere a cómo los diferentes grupos dentro de una empresa interactúan y se comunican. Algunos de los efectos que puede tener una mala comunicación son obvios: cuando la comunicación no es clara y eficiente, los mensajes importantes sobre la postura de la compañía en materia de ciberseguridad pueden perderse fácilmente en la traducción.

Para mejorar la dinámica intergrupal, muchos investigadores abogan por un mayor contacto cara a cara entre los departamentos para ayudar a aumentar los sentimientos positivos. Las reuniones pequeñas entre el personal de seguridad y los empleados se consideran particularmente eficientes. Además, el liderazgo de la empresa debe trabajar para mejorar el sentido de unidad e identidad entre todos los departamentos y grupos.

¿Cómo mejorar el comportamiento del correo electrónico?

Para muchas empresas, el correo electrónico es el principal método de comunicación, desafortunadamente también es un campo minado de ataques de phishing: ataques cibernéticos de ingeniería social que intentan engañar a un receptor de correo electrónico para que haga clic en un enlace malicioso, descargue un archivo adjunto dañino o brinde información al phisher.

Si bien puede parecer que capacitar a los empleados en la identificación de tácticas de phishing juega un papel importante, para obtener los mejores resultados, las organizaciones deben evaluar las competencias individuales de los empleados, capacitarlos específicamente en sus brechas de conocimiento y evaluarlos nuevamente para asegurarse de que haya habido una mejora.

¿Cómo mejorar el comportamiento de contraseñas?

Imponer políticas de contraseña muy estrictas no necesariamente ayuda. Hacer cumplir las reglas que conducen a la frustración de los empleados, como exigir que memoricen contraseñas aleatorias excesivamente largas, puede ser problemático.

En general, el mejor enfoque es encontrar una manera de facilitar a los empleados el uso de contraseñas seguras, como el uso de un administrador de contraseñas así como destacar los motivos por las que son tan importantes.


Conclusión

En todos los aspectos de la cultura de seguridad, las campañas de educación y sensibilización generalmente se han asociado con resultados positivos. Sin embargo, existe evidencia de que el simple hecho de conocer las mejores prácticas de seguridad cibernética no es suficiente para crear un cambio de comportamiento.

Para llenar ese vacío, se requiere un cambio de actitud. Esto puede incluir profundizar en la idea de que los riesgos de incumplimiento de la política de la compañía superan los beneficios de la conveniencia.


Finalmente, la cultura de la empresa está determinada en gran medida por la administración, por lo que si el liderazgo no está invertido en ciberseguridad, los empleados tampoco lo estarán.


Fuente: AT&T Cybersecurity