El año pasado, el 74 % de las fugas de datos se debieron a factores humanos, es decir, a usuarios que actúan de manera arriesgada o maliciosa. No cabe duda de que las amenazas internas de todo tipo son especialmente difíciles de gestionar, ya sean el resultado de negligencias y errores humanos o de intenciones maliciosas. Dicho esto, fomentar una cultura de seguridad robusta puede reducir de manera importante estos incidentes.
Sin embargo, instaurar una cultura de seguridad robusta no es fácil tarea fácil. En primer lugar, el concepto de “cultura de seguridad” puede parecer vago a veces. Una de las razones es que realmente no existen parámetros estandarizados para medirla. Algunas organizaciones evalúan la cultura a través de las tasas de clics en simulaciones de phishing; otras se basan en las tasas de finalización de la formación, o en la rapidez con la que se completan los módulos de formación asignados.
En este artículo, analizaremos qué es realmente una cultura de seguridad, por qué es fundamental para una organización y qué se puede hacer para crear una cultura robusta y sostenible.
¿Qué es una cultura de seguridad?
Proofpoint define la cultura de seguridad como las creencias, valores y actitudes que determinan el comportamiento de los usuarios a la hora de proteger su organización contra los ciberataques.
Este concepto fue propuesto por primera vez por los investigadores del MIT Keman Huang y Keri Pearlson en 2019. Por ejemplo, una cultura de seguridad será débil si sus empleados no perciben el valor de las mejores prácticas de seguridad, o si ven la ciberseguridad de forma negativa, como si la consideran un obstáculo para su productividad.
¿Cómo se mide la cultura de seguridad?
Nuestro objetivo es concretar este concepto. Por eso lo hemos desglosado en tres aspectos fundamentales:
- Responsabilidad. Los empleados son conscientes de que deben desempeñar un papel proactivo en la prevención de incidentes de seguridad.
- Importancia. Los empleados saben que las ciberamenazas son un riesgo importante para el éxito de la organización, y que podrían afectarles personalmente.
- Empoderamiento. Los empleados son conscientes de su capacidad de actuación, porque tienen conocimientos y competencias en ciberseguridad y políticas. Cuando toman una decisión importante en materia de seguridad, pueden estar seguros de que su organización resolverá el problema rápidamente.
El modelo de cultura de ciberseguridad de Proofpoint se sitúa en la intersección de tres factores clave.
Para evaluar el grado de madurez de su cultura de la seguridad, una empresa puede realizar un estudio de seguridad. Esta encuesta puede ayudar a estimar la probabilidad de que los empleados tomen decisiones pensando en la seguridad y reaccionen adecuadamente.
En última instancia, el objetivo es estimular cambios positivos de comportamiento. Los empleados deben sentirse animados a ayudar a proteger la organización adoptando las mejores prácticas de seguridad.
¿Por qué es importante la cultura de la seguridad?
Como se destaca en el informe State of the Phish 2024 de Proofpoint, el 96 % de los empleados que realizaron una acción peligrosa eran conscientes de que su comportamiento era arriesgado. Este resultado cuestiona la creencia convencional de que las personas adoptan comportamientos de riesgo porque carecen de conocimientos sobre seguridad. También explica por qué la formación por sí sola es insuficiente y por qué es tan importante establecer una cultura de la seguridad robusta.
La cultura de seguridad puede definirse como la forma en que las personas perciben, siguen y se preocupan por las prácticas y políticas de seguridad. Orienta sus decisiones, por ejemplo, en la forma de gestionar datos sensibles o de reaccionar ante posibles mensajes de correo electrónico de phishing. En última instancia, son sus decisiones las que afectan a la seguridad global de la empresa.
Una cultura de la seguridad robusta contribuye a mitigar los riesgos asociados al factor humano, proporcionando a los usuarios las herramientas adecuadas y los conocimientos necesarios para identificar los peligros y evitar comportamientos imprudentes. También les motiva a cumplir las mejores prácticas de seguridad, porque comprenden el valor de la seguridad, los riesgos asociados y las consecuencias del incumplimiento.
Una cultura de seguridad robusta también anima a los empleados a asumir responsabilidades. En nuestro informe State of the Phish 2024, el 60 % de los encuestados no estaban seguros o no creían ser responsables de ayudar a proteger su organización. Una vez que las personas comprenden el impacto de sus acciones en la seguridad general de la empresa, es más probable que asuman la responsabilidad de sus actos. Este sentido de la responsabilidad es crucial.
¿Cuáles son los elementos fundamentales de una cultura de seguridad robusta?
A continuación, enumeramos las principales características de una cultura de la seguridad robusta:
- Liderazgo comprometido. Los ejecutivos reconocen la importancia vital de la seguridad. En consecuencia, integran el componente de seguridad en sus decisiones empresariales. Esta actitud marca la pauta para toda la organización y garantiza que la seguridad sea un objetivo prioritario y proactivo, y no solo una consideración secundaria.
- Empleados implicados y concienciados. Los empleados no solo son conscientes de los problemas de seguridad, sino que también participan directamente en las iniciativas formación para concienciar en materia de seguridad. Una vez que comprenden los riesgos y las posibles consecuencias de descuidar las mejores prácticas de seguridad, se sienten más inclinados a aprenderlas y aplicarlas.
- Responsabilidad clara. Los empleados de todos los niveles entienden que desempeñan un papel fundamental en la seguridad de su organización. No ven la seguridad como una responsabilidad ajena.
- Confianza y apertura. Los empleados se sienten cómodos informando de problemas de seguridad. Es más, no tienen miedo de admitir sus errores; no temen las sanciones. Por el contrario, ven al equipo de seguridad como un recurso que puede ayudarles si lo necesitan.
¿Cómo podemos fomentar una cultura de seguridad robusta?
Hay tres principios clave sustentan los cimientos de una cultura de seguridad robusta:
- Conocer su organización. En primer lugar, hay que identificar los principales riesgos organizativos, así como las microculturas que hay que tener en cuenta. Este análisis le ayudará a garantizar un compromiso interfuncional. Durante esta fase, también debe identificar cualquier riesgo de comportamiento y obtener información sobre factores clave, como el grado de confianza que los empleados depositan en el equipo de seguridad.
- Construir relaciones. En la siguiente fase, hay que trabajar con líderes multifuncionales y personas influyentes. Su objetivo es crear una red que incluya a personas de equipos internos clave, como RR. HH., asuntos jurídicos, cumplimiento y comunicaciones corporativas. Luego hay que conseguir la aprobación del equipo directivo para obtener apoyo y recursos.
- Convertir a los empleados en partes interesadas. Es esencial comunicar regularmente el valor y los objetivos de una cultura de seguridad, así como sus expectativas. Parte de este proceso implica crear canales de comunicación para recabar las opiniones de los empleados, ya sean positivas o negativas. Dé a los usuarios la oportunidad de comprobar por sí mismos que la ciberseguridad es buena para ellos. Además, proporcione a los empleados un entorno seguro, propicio para el aprendizaje y el desarrollo personal.
Estos principios se detallan en la guía Proofpoint ZenGuide™. Esta completa guía incluye un plan de comunicación que le ayudará a alcanzar sus objetivos en el desarrollo de una cultura de ciberseguridad.
Ilustración del plan de comunicación de Proofpoint ZenGuide™.
Cómo superar los principales retos
Crear una cultura de seguridad robusta no es tarea fácil. He aquí algunos consejos para superar los obstáculos más comunes:
- Concienciar internamente. No todos los usuarios tienen el mismo nivel de conocimientos sobre seguridad. Trate su programa como una campaña de marketing. Utilice diversos medios y canales de comunicación para llegar a su público objetivo. Adapte su mensaje para que sea relevante para roles diferentes, e incluso para personas diferentes.
- Presentar argumentos cuantitativos y cualitativos. Para justificar la inversión en una cultura de seguridad robusta, puede recurrir a los datos de los informes del sector. Sin embargo, una narración bien construida y presentada tiene más probabilidades de calar en la gente que los simples datos en bruto. A la hora de justificar costes o solicitar recursos adicionales, conviene combinar datos y explicaciones en una narración eficaz.
- Asegurarse de que la comunicación sea bidireccional. La comunicación bidireccional significa que se anima a los empleados a expresar sus opiniones y compartir sus ideas. Cuando se anima a la gente a hacer preguntas o expresar sus preocupaciones sobre las iniciativas de seguridad, se crea un sentimiento de inclusión. No sienten que la responsabilidad les viene impuesta por sus superiores. Es la mejor manera de generar y mantener el compromiso.
Conclusión
Una cultura de seguridad robusta es esencial para proteger a una organización de los ciberataques. Pero la cultura la construyen las personas que trabajan en la empresa. Viene determinada por su actitud ante la seguridad, su percepción de la propia responsabilidad y su capacidad de actuación. A la inversa, la cultura también tiene un impacto directo en las personas: influye en la forma en que perciben y respetan las prácticas de seguridad.
Para instaurar una cultura de seguridad robusta, los equipos de seguridad deben conocer a fondo su organización. También deben fomentar las relaciones entre departamentos e inculcar a los empleados el sentimiento de que tienen un interés en proteger la empresa. Además, deben tener siempre presente que se trata de un esfuerzo a largo plazo, que puede empezar con iniciativas a pequeña escala. Si está bien concebido, el proyecto irá ganando impulso poco a poco.
¿Cómo puede ayudarle Proofpoint?
Instaurar una cultura de la seguridad robusta es un esfuerzo colectivo. Sin embargo, disponer de una solución completa en este ámbito y de un partner estratégico puede ayudarle a conseguir los efectos deseados con mayor rapidez.
Proofpoint adopta un enfoque adaptable del riesgo humano para estimular el cambio cultural y de comportamiento a largo plazo. Nuestro método exclusivo DICE (Detectar, Intervenir, Cambiar comportamientos y Evaluar), ofrece a las organizaciones un marco de eficacia probada para modificar los comportamientos inseguros y fomentar una cultura de la seguridad.
Proofpoint’s ZenGuide™ utiliza la metodología DICE de eficacia probada.
¿Desea ayuda más específica para mejorar las competencias de sus usuarios? Los servicios Premium de Proofpoint están hechos para usted. Nuestros programas de concienciación de seguridad y gestión de riesgos adoptan una perspectiva global, que va mucho más allá de las simples medidas puntuales. Se centran en lograr un verdadero cambio cultural y mitigar los riesgos.
Proofpoint ofrece una asociación estratégica de valor añadido, en la que le ayudamos a implementar las mejores prácticas del sector. Además, ayudamos a los equipos de seguridad en sus iniciativas para implicar y motivar a los empleados de forma más eficaz, lo que a menudo implica utilizar datos sobre amenazas e información sobre riesgos para integrar la ciberseguridad en el mundo real.
Proofpoint ZenGuide permite a los reducidos equipos de seguridad automatizar y adaptar cursos de formación personalizados basados en el perfil de riesgo, el comportamiento y el rol de un usuario. Consulte nuestra página de producto de ZenGuide para obtener más información.
Para obtener más consejos sobre el establecimiento de una cultura de seguridad sostenible, descargue nuestro libro electrónico Más que formación de concienciación.