La importancia de una cultura de ciberseguridad

La pandemia trajo grandes cambios en la forma de trabajar, con una migración hacia lo remoto. Con ello se presentaron nuevas amenazas en el ámbito cibernético, por lo que muchas empresas han redoblado esfuerzos para mejorar su seguridad. Sin embargo, la inversión por sí sola no podrá frenar los posibles ciberataques.

Conversamos con Alexander García, socio de Ciberseguridad y Privacidad de PwC Perú, quien nos explica la importancia de la ciberseguridad en las organizaciones y cómo crear una cultura alrededor de este mecanismo de defensa.

  • ¿Por qué es importante tener una cultura de ciberseguridad en nuestras organizaciones?

La ciberseguridad y la cultura son aspectos que se han vuelto más relevantes en los últimos años. Yo iría un poco más atrás, definiendo qué es cultura. En su concepto más básico, la cultura es un conjunto de conocimientos, hábitos y costumbres que permiten a la persona desarrollar un juicio crítico sobre su entorno y su organización. En ese sentido, la cultura de ciberseguridad es importante, en primer lugar, porque permite a las organizaciones involucrar a los colaboradores de manera activa en la protección de la información crítica, que está siempre expuesta a amenazas cibernéticas. Esto se logra a través del aprendizaje concientización de esos buenos hábitos que todos los colaboradores deben tener en el ciberespacio.

Por ejemplo, que los colaboradores puedan reportan actividades inusuales en sus cuentas de correo, o que identifiquen a personas no autorizadas en áreas restringidas. El individuo se vuelve un mecanismo de ciberseguridad que está alerta y sabe cómo actuar en caso se presente un evento sospechoso. Y, en segundo lugar, los colaboradores somos la causa de más del 30% de ataques informáticos a nivel global, porque a veces somos poco diligentes o calculamos mal el riesgo, cuando utilizamos algún recurso informático o manejamos información sensible de la compañía.

  • ¿Cómo crear una cultura de ciberseguridad en una empresa?

La cultura de ciberseguridad se empieza a crear desde el primer momento que un colaborador ingresa a una organización. Se recomienda que en las sesiones de inducción se explique cuáles son las políticas y procedimientos que se deben seguir y que son parte del día a día de la compañía. Para ello es importante que las organizaciones tengan las reglas de juego claras en materia de ciberseguridad, que lleven un mensaje coherente que se cumpla por cada uno de los colaboradores.

Esta primera inmersión a la ciberseguridad debe ser acompañada y reforzada periódicamente por algunas campañas de comunicación, correos electrónicos, boletines y talleres vivenciales en los cuales se refuerce la importancia de una adecuada diligencia en el ciberespacio, usando los activos de información que me brinda la compañía sobre cómo debo actuar cuando recibo datos sensibles de clientes y colaboradores.

Es importante recalcar que cuando hablamos de cultura de ciberseguridad no solo debemos limitarlo a cursos en línea o webinars, sino que debemos articularlo a una serie de actividades porque las personas y las organizaciones tenemos diversas formas de aprender y adoptar buenas conductas. La forma de procesar los mensajes puede variar de compañía en compañía, y tenemos que ver de qué forma mi empresa y mis colaboradores aprenden nuevos hábitos; y sobre eso plantear nuestras estrategias de comunicación.

  • ¿Cuál es el rol que deben cumplir la alta gerencia y el directorio?

Según nuestra última encuesta global Digital Trust Insights, el 46% de los CEOs ha incrementado su involucramiento en ciberseguridad. Este dato no hace más que confirmar que la alta gerencia y el directorio están asumiendo cada vez más su rol de liderazgo en este tema, evaluando los riesgos, destinando recursos no solo en inversiones tecnológicas sino capacitando a su organización sobre el uso seguro de tecnologías, brindando información para que aprendan estas nuevas conductas y prevenir eventos no deseados.

Asimismo, es importante que estos líderes den el ejemplo y sean los primeros en adoptar prácticas seguras. Por ejemplo, poner contraseñas en sus correos, dispositivos electrónicos y en todo material o información relevante que deba ser protegido. Participar constantemente en las actividades de concientización, y comunicar claramente que la ciberseguridad no es negociable para la compañía.

  • ¿Cuál es el nivel de avance de las compañías peruanas en estos temas?

En Perú, el avance es progresivo, pero no a la velocidad que evolucionan o se incrementan las ciberamenazas. Algunas compañías se limitan únicamente a dar cursos en línea, lo cual considero que es insuficiente porque eso no ayuda mucho en la adopción de nuevos hábitos y costumbres ciberseguras. Otros, por ejemplo, adicionalmente a los cursos o e-learnings, también hacen algunos ejercicios de ingeniería social como phishing, para reforzar las políticas de seguridad. Pero lamentablemente esos ejercicios se hacen de manera aislada y no se ve una evolución en los indicadores, donde los usuarios siguen cayendo en estas trampas que las empresas realizan periódicamente.

Sin embargo, hay otras compañías con estructuras más maduras, con una visión más enfocada en la persona, donde ya están implementando programas de cultura en ciberseguridad, soportado con actividades en línea y presenciales, con herramientas digitales, haciendo talleres interactivos, logrando que el trabajador se sienta más motivado para dominar este conocimiento y hacer trabajo más seguro. También se podría decir que, a nivel sectorial, las empresas reguladas están más avanzadas en estos aspectos. Pero es importante indicar que no es solamente una cuestión de inversión, también es darle la responsabilidad a los trabajadores para que participen activamente en la estrategia de ciberseguridad.

  • ¿Qué recomendaciones les darías a los líderes empresariales peruanos?

Primero, entender que la ciberseguridad es un factor crítico en cualquier compañía y más aún en aquellas que van a invertir en transformación digital. En ese sentido, es clave entender que la ciberseguridad es un aliado estratégico para el éxito de estas iniciativas y para su sostenibilidad en el tiempo. En esa línea de ideas, la ciberseguridad no solo se construye con nuevas tecnologías, contratando un experto en el rubro o haciendo un ethical hacking una vez al año, sino también se logra y se construye capacitando a nuestros colaboradores para que adquieran esos hábitos en el manejo seguro de la información, que sean diligentes al momento de compartir información con terceros y que tomen adecuadas decisiones al adquirir tecnología, que ha evolucionado significativamente durante los últimos 18 meses.

Deja un comentario

Volver arriba