Los ciberataques a empresas son cada vez más frecuentes, lo que ha llevado a que las empresas tengan que tomarse muy en serio la protección de sus redes. La seguridad es algo que deben tener muy en cuenta para evitar problemas en sus negocios. Tanto, que tienen que incluirla entre sus principales prioridades para la gestión y protección de la empresa. Pero ¿cómo hacerlo?
Doug Fisher, Responsable de seguridad de Lenovo, lo tiene muy claro: hay que empezar por la base para conseguirlo. Es decir por lo más elemental. Eso implica que la pregunta que deben hacerse las empresas es ¿cómo ofrecer una protección más efectiva a empleados, partners y clientes?, para a partir de ahí dar los pasos más elementales.
Estos pasan, por ejemplo, por parchear los fallos conocidos en cuanto sea posible, hacer obligatorio el uso de contraseñas sólidas, adoptar la autenticación en dos pasos para el acceso a la red y la formación a empleados sobre cómo identificar y evitar ataques de phishing. con un liderazgo fuerte y estas medidas, se pueden abordar un gran número de problemas. Pero la solución es construir una cultura de la seguridad sostenible, sin importar el tamaño de la organización. Solucionar problemas de ciberseguridad implica impulsar un cambio organizativo. Y los líderes de seguridad no pueden conducir este cambio sin una cultura de seguridad establecida de forma sólida como base.
Para empezar a desarrollarla, lo primero es comprender y aceptar que es responsabilidad de todos. Esto implica que todos tienen que pensar las implicaciones que tiene cada acto, como dar acceso a los partners a la red, o cómo se responde a peticiones de información por teléfono, correo electrónico o redes sociales. En todos los casos hay que tener la seguridad presente al interactuar con quien solicita información.
Ningún problema de seguridad ilustra tan bien la necesidad de contar con una mentalidad centrada en la seguridad que el phishing. Según un estudio de Cisco, el 95% de las brechas de seguridad tienen su origen en ataques de phishing exitosos. Por eso, desarrollar una cultura de seguridad en la que todos comprendan que deben centrarse en ella es básico para que una empresa pueda evitar en gran parte los ataques de phishing.
Otro elemento crítico en una cultura centrada en la seguridad es asegurarse de que la prevención es continua. La seguridad es un viaje, no un destino. Por cada nueva función o herramienta de seguridad software que exista, hay otra vulnerabilidad en desarrollo, así que hay que estar siempre alerta. Eso sí, eso no implica que haya que centrarse en asustar a los empleados para que cumplan las normas. Si se obra de esta manera, el mensaje perderá significado y fuerza, y llegará a ser ignorado.
La comunicación sobre seguridad tiene que ser relativa, y hay que asumir desde un principio que se cometerán errores. Es el cómo se reacciona a esos mensajes lo que marca la diferencia entre reforzar la cultura de la seguridad o debilitarla sin querer.
Hay que convertir los incidentes, siempre que sea posible, en momentos para la enseñanza, y asegurarse de que todos los implicados comprenden lo que falló, cuáles fueron las consecuencias para la organización y cómo pueden evitarse esos problemas en el futuro. Si el problema que ha llevado a error es nuevo, debe apostarse por una formación adicional, y hablar ampliamente de ello, de manera que el mayor número de personas posible puedan aprender de él.
Por otro lado, hay que tener en cuenta que crear una cultura centrada en la seguridad requiere una rendición de cuentas. Las políticas de la compañía deben reforzarse para ello. Y los que se han educado en las acciones correctas a tomar deben esperar un seguimiento en su formación. Pero es también muy importante celebrar los éxitos. Puede ser un desafío, en el que el éxito implica muchas veces que no ha habido problemas. Es más, los que se dedican a esto no suelen querer atraer la atención sobre cómo estamos protegiendo nuestras organizaciones. Aún así, hay que celebrar los éxitos.
En la práctica, esto implica agradecer a los empleados el hecho de informar que han recibido correos electrónicos sospechoso. Para los equipos centrados en la seguridad, eso implica ofrecer oportunidades de crecimiento, y establecer la seguridad como un camino profesional deseable y apetecible. Además, hay que tener en cuenta que mientras las amenazas siguen evolucionando, las organizaciones necesitan un conjunto de defensas para detectar ataques potenciales y para proteger sus sistemas y sus datos. Mediante el establecimiento de una cultura de seguridad fuerte, puedes darse energía a la plantilla para dar pasos sencillos y básicos para ofrecer a la empresa una capa adicional de defensa frente a los ciberataques.