Construyendo una cultura orientada a la seguridad

Construyendo una cultura orientada a la seguridad 1

La ciberseguridad ya no es una cuestión de si un empleado debería tener acceso a Facebook. Los equipos de seguridad de la información se enfrentan minuto a minuto a ataques de phishing, acceso a aplicaciones empresariales en la nube, movilidad y malware de cero segundos. Vivimos en un mundo cibernético donde no podemos controlar los sistemas ni las personas que acceden a ellos, ni podemos bloquear las mismas herramientas que hacen que los empleados sean más eficientes.

Puede tener las mejores herramientas de seguridad del mundo, pero si las personas de su empresa no hablan el mismo idioma de ciberseguridad, su organización es vulnerable.

Piénsalo; Si tienes una gran cerradura en tu puerta pero nadie en tu casa sabe cómo usarla, ¿de qué te sirve? Tienes que construir una mentalidad y una cultura en tu casa para que todos comprendan lo vital que es usar la cerradura. Lo mismo ocurre en el mundo virtual. Usemos la palabra “SEGURO” para ayudarnos a comprender cómo crear una cultura centrada en la seguridad.

#1 Simplificar: Las organizaciones deben trabajar juntas para simplificar lo que significa tener conocimientos de seguridad. Una excelente manera de hacerlo es correlacionando la seguridad física con la seguridad cibernética. ¿Le darías tus llaves o tu dinero a un extraño en la calle? Por supuesto que no, pero entonces ¿por qué estamos tan dispuestos a hacer estas cosas en el mundo cibernético? Una cultura segura no debería ser complicada, sino fácilmente entendida y adoptada.

#2 Educar: Al construir cualquier cultura, la educación es una clave importante para la fundación. Busque artículos en los principales medios de comunicación o sitios web como darkreading.com y Krebs on Security para obtener noticias sobre violaciones de seguridad importantes, como Target y Sony. Incluso existen algunas buenas herramientas para concienciar a los usuarios y ayudarlas a comprender los riesgos que existen.

#3 Cumplir: hoy en día es muy raro que una organización no esté vinculada a algún tipo de cumplimiento normativo, como HIPPA, PCI, SOX, etc. Como organización, debe comprender estas regulaciones y cómo una infracción o incidente puede afectar negativamente la empresa en su conjunto. En, una organización de atención médica acordó un acuerdo de 4,8 millones de dólares después de que se filtraran 6.800 datos personales identificables. Se trata de dinero real que sale de una organización, lo que podría poner en riesgo la rentabilidad y, en última instancia, los empleos. Incluso si no tiene ninguna obligación de cumplimiento, la propiedad intelectual, las listas de ventas de clientes y las descripciones salariales son información que, si se filtra o se ve comprometida, podría causar un daño cualitativo.

#4 Comprenda: existe una clara división entre los equipos de seguridad de la información y las comunidades de usuarios. Es realmente importante que ambas partes comprendan que el objetivo es hacer que la organización sea lo más exitosa posible. He visto organizaciones crear un grupo de trabajo interno sobre ciberseguridad, cuyo representante de seguridad trabaja con partes interesadas de varios departamentos para discutir cómo cada uno aborda la ciberseguridad. Este enfoque ayuda a aliviar la tensión y crear una cultura de camaradería y un objetivo común entre los departamentos para trabajar de manera eficiente y segura.

#5 Respeto: No todos estarán de acuerdo con la postura de seguridad cibernética de su organización. Una forma de construir cultura es estar en desacuerdo, pero no ser desagradable.

#6 Evolucionar: La seguridad es un entorno en constante cambio. En mis primeros años, llamaba a las organizaciones que decían que el software antivirus era todo lo que necesitaban para estar seguros. A medida que las amenazas cibernéticas se vuelven más peligrosas, es importante que las organizaciones también cambien.

Esta es una publicación invitada de Paul Robinson.