La importancia de una cultura de ciberseguridad

Cyber security and global communication concept. Analysis of information. Technology data binary code network conveying connectivity, Data and information protection protocol.

Pagos a proveedores, distribución logística, compra de materias primas, canales de comunicación, son algunos de los activos conectados o, por decirlo de otra manera, “expuestos” a la red. Gobiernos, sociedad y empresas, independiente del sector donde se desempeñen, son dependientes, cada día más, de las tecnologías de la información. Y con los grandes beneficios que estas proveen, también debemos ser conscientes del riesgo inherente que estas conllevan; por eso, crear y robustecer una cultura de ciberseguridad es fundamental para todas las compañías.

¿Qué valor tienen los datos para su organización?

No, no es solo pensar en una cifra, aunque la hay, es el valor que tienen los datos para el correcto funcionamiento de la operación diaria. Es el valor de los datos para las personas que interactúan con la empresa: clientes, proveedores, colaboradores; es el valor de la reputación de la marca.

¿Qué pasaría si hoy su organización sufriera un ataque de ransomware, un secuestro de datos? ¿Está su compañía preparada? Según el Informe Global de Riesgos 2022, realizado por El Foro Económico Mundial en conjunto con Marsh McLennan, los ataques de ransomware aumentaron 435% y los de malware, un 358% en 2020; por eso, las organizaciones deben tener presente que un ciberataque es inminente y deben estar preparadas para detectar y reaccionar ante él.

¿Cómo construir una cultura de ciberseguridad?

La clave para construir una cultura de ciberseguridad es pasar de un pensamiento táctico, que deja la ciberseguridad al departamento de TI, a un pensamiento estratégico, en el que el riesgo sea visto como algo que afecta a toda la organización y que debe ser abordado por todos los colaboradores.

En un mundo en el que los ciberataques aumentan exponencialmente, las capacidades tanto de las organizaciones como de los países para prevenir y responder de manera efectiva están siendo sobrepasadas. Los métodos de ataque son cada vez más agresivos y sofisticados, y los procedimientos de control implementados por las organizaciones no siempre son los más robustos o adecuados. Por ejemplo, en el reporte mencionado se cita un caso en el que ciberdelincuentes clonaron la voz de un director de una organización para autorizar la transferencia de US$35 millones a cuentas de empresas fraudulentas.

En Colombia, al igual que en otros países de la región, según un estudio realizado por Marsh y Microsoft llamado Estado del Riesgo Cibernético en Latinoamérica en tiempos de COVID-19, se encontró que 1 de cada 3 empresas ha percibido un aumento en los ciberataques, pero la mitad de las empresas encuestadas invierte menos del 5% del presupuesto de TI en seguridad de la información y ciberseguridad.

Por lo tanto, entender cuáles son los riesgos principales, los retos y desafíos permite a las organizaciones tener una gestión adecuada de su riesgo cibernético. Pasar de un pensamiento táctico a un pensamiento estratégico no solo permite fortalecer la cultura de ciberseguridad, sino también la cultura organizacional en general, con el fin de reducir los riesgos de seguridad.

No basta con enseñar buenas prácticas a los equipos; es importante que sean conscientes de los riesgos. Un equipo con visión estratégica de su ciberseguridad se sentirá motivado a integrar las buenas prácticas de forma proactiva desde el principio.

Además, no hay que perder de vista que los ciberataques irrumpen en todo el core del negocio. Colaboradores, clientes, accionistas y la junta directiva, se verán afectados y tendrán que recurrir a gastos posiblemente inesperados, para solventar esta situación.

¿Conoce las consecuencias de los riesgos cibernéticos?

3 claves fundamentales para una cultura de ciberseguridad efectiva

Fomentar una cultura de ciberseguridad se transforma en un aspecto crucial, teniendo en cuenta que existen eslabones débiles en esta temática como el error humano. Esta conclusión la reafirma El Informe Global de Riesgos 2022, el cual asegura que el 95% de los riesgos cibernéticos son producidor por una falla humana.

Por este motivo, se hace necesario generar y promover una cultura de ciberseguridad en las organizaciones que ayude a fortalecer el conocimiento y la educación sobre el tema, disminuyendo así la probabilidad de error por parte del ser humano.

A continuación, tres puntos a tener en cuenta:

1. Tone at the top

El apoyo de los líderes de la alta gerencia es fundamental. No solo por las inversiones que estos decidan hacer frente al riesgo cibernético, sino porque ellos ayudan a dar la visión integral y estratégica que se debe seguir, ayudan a identificar los riesgos de cada uno de sus departamentos, y establecen prioridades en el plan de mitigación de riesgos cibernéticos. Además, al ser uno de los objetivos más comunes para los ciberdelincuentes, también tienen un interés personal.

2. Educación de los colaboradores

Crear conciencia dentro de las organizaciones es fundamental debido a que el error humano y la ingeniería social hoy representan la mayor fuente de brechas de ciberseguridad. Tener un programa de capacitaciones continuas y una guía de buenas prácticas de ciberseguridad, enfocadas a sensibilizar a los colaboradores dependiendo de su rol, de sus responsabilidades específicas y de cómo su desempeño afecta positiva o negativamente la ciberseguridad, ayudará a crear esa cultura para enfrentar estos riesgos.

Según The Global Risks Report 2022, se estima que existe un déficit de 3 millones de profesionales de ciberseguridad a nivel global. A medida que el incremento en el uso de la tecnología aumenta, esta brecha podría verse incrementada. La ausencia de especialistas de ciberseguridad en las organizaciones o su falta de preparación, tiene un efecto directo en el nivel de exposición al riesgo cibernético.

3. Resiliencia de la ciberseguridad

La cultura de ciberseguridad también se relaciona en cómo los colaboradores se enfrentan a un ataque, porque ser víctima de un ciberdelito también trae consigo diferentes emociones que deben ser tenidas en cuenta.

Enfrentar estas emociones y cultivar resiliencia para que los colaboradores sientan la confianza de comunicar un error, en vez de entrar en pánico, ayudará a reaccionar mejor a un posible ataque. Un ciberincidente mal gestionado, puede convertirse en una cibercrisis.

¿Está listo para pasar de la gestión del riesgo cibernético a la protección integral?

Marsh un aliado estratégico

Desde el área de consultoría de Marsh, contamos con un portafolio de servicios que buscan atender las necesidades de la organización de cara a la gestión del riesgo cibernético y están relacionados con:

Estrategia y gobierno de seguridad de la información y ciberseguridad
Cumplimiento.
Cultura de ciberseguridad.
Gestión y cuantificación de ciberriesgos.
Gestión de ciberriesgos con terceros.
Desarrollo seguro de software.
Seguridad ofensiva y defensiva.
Gestión de ciberincidente.

Con la asesoría de un aliado como Marsh, las organizaciones contarán con el apoyo necesario para mitigar y transferir adecuadamente el riesgo cibernético, y crear una cultura de ciberseguridad que permita a las organizaciones convertir ese eslabón más débil, en el activo más fuerte.

Hacker hacking the server in the dark web, Deep Web Top dark net

Artículo

La importancia de una cultura de ciberseguridad

¿Qué valor tienen los datos para su organización?

¿Cómo construir una cultura de ciberseguridad?