La importancia de una cultura de ciberseguridad

Conozca por qué es importante crear y fomentar una cultura de ciberseguridad en las organizaciones.

Cyber security and global communication concept. Analysis of information. Technology data binary code network conveying connectivity, Data and information protection protocol.

Pagos a proveedores, distribución logística, compra de materias primas, canales de comunicación, son algunos de los activos conectados o, por decirlo de otra manera, “expuestos” a la red. Gobiernos, sociedad y empresas, independiente del sector donde se desempeñen, son dependientes, cada día más, de las tecnologías de la información. Y con los grandes beneficios que estas proveen, también debemos ser conscientes del riesgo inherente que estas conllevan; por eso, crear y robustecer una cultura de ciberseguridad es fundamental para todas las compañías. 

¿Qué valor tienen los datos para su organización? 

No, no es solo pensar en una cifra, aunque la hay, es el valor que tienen los datos para el correcto funcionamiento de la operación diaria. Es el valor de los datos para las personas que interactúan con la empresa: clientes, proveedores, colaboradores; es el valor de la reputación de la marca.

¿Qué pasaría si hoy su organización sufriera un ataque de ransomware, un secuestro de datos? ¿Está su compañía preparada? Según el Informe Global de Riesgos 2022, realizado por El Foro Económico Mundial en conjunto con Marsh McLennan, los ataques de ransomware aumentaron 435% y los de malware, un 358% en 2020; por eso, las organizaciones deben tener presente que un ciberataque es inminente y deben estar preparadas para detectar y reaccionar ante él. 

De lo táctico a lo estratégico

En un mundo donde los ciberataques aumentan exponencialmente, las capacidades tanto de las organizaciones como de los países para prevenir y responder de una manera eficaz, están siendo sobrepasadas.  

Los métodos de ataque son cada vez más agresivos y sofisticados, y los procedimientos de control implementados por las organizaciones, no siempre son los más robustos o los más adecuados; por ejemplo, en el reporte mencionado, se cita un caso de cómo ciberdelincuentes clonaron la voz de un director de una organización para autorizar la transferencia de US$35 millones a cuentas de empresas fraudulentas.

En Colombia, como en los demás países de la región, según un estudio realizado por Marsh y Microsoft: Estado del Riesgo Cibernético en Latinoamérica en tiempos de COVID-19, se encontró que 1 de cada 3 empresas ha percibido el aumento del ciberataque, pero la mitad de las empresas encuestadas invierte menos del 5% del presupuesto de TI en seguridad de la información y ciberseguridad.

Entender cuáles son los riesgos principales, los retos y desafíos, permite que las organizaciones tengan una gestión adecuada de su riesgo cibernético; por ello, se debe pasar de un pensamiento táctico, aquel que deja la ciberseguridad al departamento de TI, y llevarlo a un pensamiento estratégico, en donde el riesgo sea visto como algo que atraviesa toda la organización, un tema que esté presente en la agenda de las altas gerencias.

No hay que perder de vista que los ciberataques irrumpen en todo el core del negocio. Colaboradores, clientes, accionistas y la junta directiva, se verán afectados y tendrán que recurrir a gastos posiblemente inesperados, para solventar esta situación.

Cultura de ciberseguridad

Fomentar una cultura de ciberseguridad se transforma en un aspecto crucial, teniendo en cuenta que existen eslabones débiles en esta temática como el error humano. Esta conclusión la reafirma El Informe Global de Riesgos 2022, el cual asegura que el 95% de los riesgos cibernéticos son producidor por una falla humana. 

Por este motivo, se hace necesario generar y promover una cultura de ciberseguridad en las organizaciones que ayude a fortalecer el conocimiento y la educación sobre el tema, disminuyendo así la probabilidad de error por parte del ser humano.

A continuación, tres puntos a tener en cuenta:

1. Tone at the top

El apoyo de los líderes de la alta gerencia es fundamental. No solo por las inversiones que estos decidan hacer frente al riesgo cibernético, sino porque ellos ayudan a dar la visión estratégica que se debe seguir, ayudan a identificar los riesgos de cada uno de sus departamentos, y establecen prioridades en el plan de mitigación de riesgos cibernéticos. Además, al ser uno de los objetivos más comunes para los ciberdelincuentes, también tienen un interés personal.

2. Educación de los colaboradores

Crear conciencia dentro de las organizaciones es fundamental debido a que el error humano y la ingeniería social, hoy representan la mayor fuente de brechas de ciberseguridad. Tener un programa de capacitaciones continuas y enfocadas a sensibilizar a los colaboradores dependiendo de su rol, de sus responsabilidades específicas y de cómo su desempeño afecta positiva o negativamente la ciberseguridad, ayudará a crear esa cultura para enfrentar estos riesgos.

Según The Global Risks Report 2022, se estima que existe un déficit de 3 millones de profesionales de ciberseguridad a nivel global. A medida que el incremento en el uso de la tecnología aumenta, esta brecha podría verse incrementada. La ausencia de especialistas de ciberseguridad en las organizaciones o su falta de preparación, tiene un efecto directo en el nivel de exposición al riesgo cibernético.

3.  Resiliencia de la ciberseguridad

La cultura de ciberseguridad también se relaciona en cómo los colaboradores se enfrentan a un ataque, porque ser víctima de un ciberdelito también trae consigo diferentes emociones que deben ser tenidas en cuenta. 

Enfrentar estas emociones y cultivar resiliencia para que los colaboradores sientan la confianza de comunicar un error, en vez de entrar en pánico, ayudará a reaccionar mejor a un posible ataque. Un ciberincidente mal gestionado, puede convertirse en una cibercrisis.

Marsh un aliado estratégico 

Desde el área de consultoría de Marsh, contamos con un portafolio de servicios que buscan atender las necesidades de la organización de cara a la gestión del riesgo cibernético y están relacionados con:

  • Estrategia y gobierno de seguridad de la información y ciberseguridad

  • Cumplimiento.

  • Cultura de ciberseguridad.

  • Gestión y cuantificación de ciberriesgos.

  • Gestión de ciberriesgos con terceros.

  • Desarrollo seguro de software.

  • Seguridad ofensiva y defensiva.

  • Gestión de ciberincidente.

Con la asesoría de un aliado como Marsh, las organizaciones contarán con el apoyo necesario para mitigar y transferir adecuadamente el riesgo cibernético, y crear una cultura de ciberseguridad que permita a las organizaciones convertir ese eslabón más débil, en el activo más fuerte.

 

Contenidos Relacionados

Autor

Image placeholder

Angela Cubillos

Cyber Risk Consulting Leader para Colombia