Claves para una transformación cultural en ciberseguridad exitosa
Con el objetivo de tener un entorno digital más seguro y resiliente, en 2018 se creó el mes de la Ciberseguridad. A partir de esto y de que los incidentes en ciberseguridad aumentan año tras año, muchas organizaciones han diseñado e implementado programas de transformación cultural en ciberseguridad, los cuales debieran considerar algunos aspectos.
Uno de ellos es la gobernabilidad del programa. En este sentido, el proceso de transformación de la cultura en ciberseguridad no es una tarea de un par de meses. Este es un trabajo que requiere varios años para generar un cambio en la organización, por lo cual es necesario instaurar una gobernabilidad de la organización, que incorpore un liderazgo ejecutivo del programa, que sea visible para el resto de la organización.
Para ello, debe existir un comité responsable de implementar el programa, que esté integrado por líderes de todas las áreas. Antes de la implementación, se debe medir el nivel actual de la cultura en ciberseguridad, es decir contar con un Índice de Cultura en Ciberseguridad (ICC) y contar con una evaluación del conocimiento que tienen los colaboradores sobre ciertos riesgos asociados al factor humano, como el phishing, ransomware y gestión de contraseñas entre otros. Lo anterior nos permitirá focalizar los esfuerzos en la implementación.
Otro aspecto importante a considerar, es la evaluación de los riesgos. Este es un proceso que le permitirá a la empresa, conocer las amenazas más peligrosas para la compañía. En este caso, resulta preciso evaluar cada una de ellas, desde un punto de vista de probabilidad de ocurrencia e impacto. El resultado final de este análisis permitirá conocer los riesgos más presentes en la compañía.
Cualquier cambio de cultura, implica definir y evaluar los comportamientos y hábitos, que deben modificarse en la empresa. Un ejemplo de ello puede ser contestar correos de personas que no se conocen, ingresar datos personales en concursos masivos, compartir una contraseña, o tener la misma contraseña en diversas cuentas. En ese sentido, es necesario evaluar constantemente el comportamiento de los usuarios, que se logra realizando ejercicios de simulación de phishing, WIFI falsas o un ejercicio de simulación de ransomware.
Para generar un cambio radical en la organización, es necesario implementar un modelo de incentivos, en relación a la participación de los colaborares. Estos impulsan a las personas a mejorar ciertas tareas. Al mismo tiempo, se requiere elaborar un cuadro de mando con métricas que permitan evaluar la efectividad y desempeño del programa, las cuales las podemos clasificar en métricas estratégicas, operacionales, económicas y benchmaking.
A nivel ejecutivo, la métrica más importante a conocer es la evolución de ICC, y desde el punto de vista operativo el % de personas que son víctima de los ejercicios de phishing y que además no participan en las actividades del programa. Las métricas a implementar, deben estar acorde al objetivo del programa.
Un aspecto a tener presente, es la intensidad del programa de transformación cultural que puede generar fatiga en ciberseguridad. En ese sentido, la periodicidad de los ejercicios de simulación de phishing puede producir el efecto contrario fatigando a los colaboradores, generando como resultado una desconexión total de empleados con el programa.
Finalmente, una medida adecuada para gestionar mejor el riesgo en organizaciones públicas y privadas es implementar un modelo predictivo de phishing, con foco en los colaboradores, y determinar a partir de los datos, aquellos que tienen mayor riesgo de ser víctima de phishing.
José Antonio Lagos
Director académico del diplomado en Ciberseguridad de UEjecutivos
Facultad de Economía y Negocios
Universidad de Chile
