Las empresas de todos los tamaños continúan creyendo que simplemente tener una estrategia de ciberseguridad e implementar las políticas correctas es la respuesta completa para defenderse contra el cibercrimen. Sin embargo, la realidad es que se necesita mucho más para construir defensas fuertes en el panorama actual de amenazas. De hecho, según la reciente Encuesta sobre infracciones de seguridad cibernética 2020 del gobierno del Reino Unido, casi la mitad de las empresas del Reino Unido (46%) han informado de una violación o ataque de seguridad cibernética en los últimos 12 meses.
Sobre el Autor
David Emm es investigador de seguridad senior en Kaspersky.
Algunas infracciones de datos son fácilmente prevenibles, pero han logrado infiltrarse en los sistemas debido a la falta de conocimiento y conocimiento dentro de una organización. Para lograr una seguridad cibernética óptima, las empresas deben asegurarse de tener la cultura y la actitud correctas hacia ella.
Este cambio debe ser impulsado desde arriba, con los líderes empresariales integrando una cultura de conciencia cibernética en toda una organización y asegurando que el personal esté capacitado en ciberseguridad y educado en la defensa contra las ciberamenazas. Una cadena es tan fuerte como su eslabón más débil, y el eslabón más débil para defender la seguridad cibernética de una empresa es a menudo su gente. Por lo tanto, la raíz de lograr una verdadera seguridad cibernética, además de buenas políticas y prácticas, es la educación.
El cortafuegos humano
La capacitación en ciberseguridad es imprescindible para el éxito de cualquier lugar de trabajo moderno. Si bien los avances tecnológicos continúan aumentando la productividad y la eficiencia en el trabajo, estos mismos avances también han dejado a muchas organizaciones vulnerables a formas más avanzadas de ataques cibernéticos.
De hecho, los empleados a menudo son el objetivo principal de los piratas informáticos que buscan infiltrarse en sistemas comerciales críticos porque contienen una gran cantidad de datos, incluida una gran cantidad de datos de clientes. De hecho, los empleados siguen siendo el eslabón más débil en la cadena de seguridad, el 52% de las empresas admiten que los empleados son su mayor debilidad en términos de seguridad de TI.
Si bien es crucial que las empresas implementen defensas técnicas como el filtrado de correo electrónico y el software antivirus, las empresas deben invertir en sus firewalls "humanos" para proteger eficazmente sus redes. Esto requiere que las empresas inviertan e introduzcan más programas de educación y capacitación continua, y ayuden a reducir el riesgo de violaciones de datos. Como primera línea de defensa, los empleados deben poder proteger un negocio de fuentes maliciosas.
Cultura de ciberseguridad en las empresas.
A medida que las empresas y las personas continúan adoptando nuevas tecnologías en el lugar de trabajo, el software y las soluciones técnicas diseñadas para proteger contra las amenazas de ciberseguridad se han multiplicado. Sin embargo, el número de violaciones de datos reportadas continúa aumentando, con casi la mitad (46%) de las compañías del Reino Unido informando haber experimentado una violación de seguridad o ataque cibernético en el último año. Esto subraya que las organizaciones no pueden simplemente confiar en la protección; También deben mantener y adaptar su cultura de ciberseguridad de acuerdo con las cambiantes necesidades comerciales y garantizar que todos comprendan los riesgos de una violación exitosa.
Las malas prácticas de seguridad pueden conducir a pérdidas financieras significativas y daños a la reputación. Los ejecutivos de C-suite deben familiarizarse con las medidas de seguridad de su organización, ya que esto puede ayudarles a comprender mejor el alcance y la gravedad de los posibles ciberataques. Al mismo tiempo, todos los empleados, desde los ejecutivos hasta los CEO, deben ser conscientes de las posibles amenazas y tener una comprensión clara de cómo gestionarlas.
Desde la introducción del Reglamento General de Protección de Datos de la UE (GDPR) en 2018, tres de cada diez empresas (30%) informan haber cambiado sus políticas o procesos de ciberseguridad como resultado del GDPR. La implementación de esta política ha significado que algunas organizaciones en los últimos 12 meses se hayan involucrado oficialmente en ciberseguridad por primera vez, mientras que otras han fortalecido sus políticas y procesos existentes.
Es importante que las organizaciones creen una cultura de ciberseguridad donde todos entiendan las reglas para proteger los datos personales y corporativos. La introducción de políticas y prácticas de ciberseguridad definidas ayudará a reducir significativamente la amenaza de un ataque, al tiempo que ayudará a sentar las bases sólidas que protejan los datos comerciales y de clientes de una organización.
¿Quién es responsable de provocar un cambio cultural?
La necesidad de una conciencia y educación continua de los empleados plantea la pregunta de quién es el responsable en última instancia de implementar este cambio cultural y quién es responsable de proporcionar programas de educación y capacitación a los miembros del personal en empresas del Reino Unido.
El panorama empresarial ahora está en completo caos, COVID-19 obliga al personal a trabajar de forma remota en muchos sectores, es más importante que nunca que se brinde capacitación en todos los departamentos, en todas las empresas. Con un personal menos experto en tecnología que ahora trabaja en línea utilizando dispositivos remotos más que nunca, son más vulnerables a las fugas de un ataque cibernético. Depende de las empresas asegurarse de que su personal conozca el cibernético y siga las buenas prácticas en el hogar, y cuando regresen al lugar de trabajo.
El gobierno tiene un papel que desempeñar para dar un buen ejemplo y ayudar a las empresas a mantenerse seguras; sus certificaciones de Cyber Essentials son un gran ejemplo, pero la colaboración entre las agencias gubernamentales y las empresas debe continuar si la cultura se desarrolla la ciberseguridad necesita cambiar. Y, en última instancia, corresponde a las empresas crear una cultura de seguridad en toda la empresa, de arriba a abajo.
Los CEO y los MD tienen un papel crucial que desempeñar para difundir la conciencia, cambiar las culturas y proporcionar capacitación, y todos en una empresa tienen un papel que desempeñar para garantizar su seguridad y protección. Es solo cuando todos se unen para adoptar buenas prácticas de ciberseguridad y seguir el protocolo que las empresas realmente tendrán una cultura cibernética efectiva.