google 4,9 (34 opiniones)
Cyber security servicio para usted
Programe una demostración
Volver al Centro de recursos

Guía del CISO: Cómo crear una cultura security awareness

13 de octubre de 2023 - Cyber security

Compartir

Pim de Vos Director de Marketing

Un programa de seguridad sólido debe centrarse en las personas, los procesos y la tecnología. Esto suele denominarse el "triángulo de oro".

Muchos CISO consideran que el aspecto "Personas" es la parte más difícil de ese marco. Con diferencia.

Conseguir el apoyo de las partes interesadas. Conseguir que los empleados crean en sus planes. Comunicar las ciberamenazas de forma clara y eficaz. Y, sobre todo, crear una cultura en la que la seguridad sea siempre una prioridad, en lugar de algo secundario.

Este CISO de aquí sabe lo importante y a la vez complejo que puede ser 👇.

En este artículo hablaremos de cómo los CISO pueden crear una cultura de security awareness dentro de su organización.

Pero primero, determinemos qué implica realmente una cultura security awareness .

¿Qué es una cultura security awareness (y por qué es importante)?

La cultura de una empresa se basa en las creencias y comportamientos de la organización. Cuando una empresa tiene una sólida cultura de security awareness , los empleados son conscientes de las ciberamenazas relevantes, de qué actividades deben informar y de a quién dirigirse en tales situaciones. Cuando su organización tiene una sólida cultura de security awareness , no se considera una ocurrencia tardía, sino una prioridad.

En los tiempos que corren, es fundamental centrarse en una cultura sólida de security awareness . El 95 % de los hackeos y las filtraciones de datos se deben a errores humanos:

  • Haciendo clic en los enlaces phishing
  • No actualizar el software
  • Utilizar contraseñas débiles
  • Trabajar a distancia sin VPN

Y la lista continúa.

Por eso es perjudicial perdernos en la tecnología y los procesos si aún no hemos prestado la debida atención a nuestra gente.

En una organización en la que no existe una cultura sólida de security awareness , la seguridad siempre es "responsabilidad de otro". Pero lo que se necesita es un sentimiento compartido de propiedad en toda la organización. Porque uno es tan fuerte como su eslabón más débil.

Hablando sobre la cultura de empresa, Dustin Moskovitz, cofundador y CEO de Asana, destaca la importancia de la persistencia y de empezar pronto. "Si aplazas este trabajo porque ahora te parece duro y te distrae, te estás preparando para un problema mucho más difícil (y quizás imposible) de resolver más adelante. La cultura se refuerza a sí misma y se vuelve más rígida con el tiempo, así que es importante empujarla en la dirección correcta lo antes posible."

Crear una cultura security awareness en cinco pasos

Ahora que hemos establecido la importancia de una sólida cultura de security awareness , vamos a discutir los pasos que debe dar para construir una para su organización.

1. Conseguir el apoyo de los dirigentes

El primer paso es empezar por arriba. La creación de una cultura comienza con el apoyo de los directivos. Si la dirección no se implica en security awareness, todo el resto del trabajo será inútil. Todas las culturas empresariales se cultivan de arriba abajo al principio. Porque si el Director General no lo considera una de sus prioridades, ¿por qué deberían sentirlo así los demás miembros de la empresa?

Al igual que con cualquier otra unidad de negocio, es su trabajo como CISO comunicar cómo de segura es actualmente su organización y qué iniciativas ha planeado para mejorarla. Cuanto más regularmente informe sobre esto, mejor se mantendrá su mensaje a lo largo del tiempo.

Resulta útil mostrar periódicamente un cuadro de mando con el que pueda familiarizarse todo el equipo directivo. Podría tratarse, por ejemplo, de los resultados del mes pasado de su programa de formación security awareness . A partir de ahí, podría responder a las siguientes preguntas:

  • ¿Sobre qué ciberamenazas ha recibido formación el equipo?
  • ¿Qué temas requieren más atención?
  • ¿Qué departamentos funcionan mejor o peor?
  • ¿Qué dicen las puntuaciones sobre nuestro nivel general de seguridad?

Una vez conseguido el apoyo del equipo directivo, es hora de centrarse en los "campeones" departamentales. Pueden ser jefes de equipo o de un departamento concreto. Son las personas que te proporcionarán la información que tanto necesitas cuando pongas en marcha iniciativas de seguridad.

Como CISO en una organización más grande, lo más probable es que trate con muchas partes interesadas diferentes al mismo tiempo que requieren un enfoque diferente. Puede ser fácil perder la pista de con quién tiene que comunicarse y quién necesita más atención. Puede utilizar una plantilla de gestión de las partes interesadas para tener todo bajo control.

2. Elaborar una declaración de marca

Ahora que cuenta con el apoyo de los directivos, inclúyalos en el proceso de creación de una declaración de marca. Esto debería responder a todas las preguntas importantes en torno a sus políticas de seguridad, como la forma en que los empleados pueden ponerse en contacto con usted o cómo actúa ante una amenaza cibernética.

Según la CISO Jadee Hanson, la mejor forma de hacer cumplir esta declaración de marca no es comunicándola. Hanson anima a los CISO a que simplemente celebren el comportamiento que buscan. Esto crea un efecto de bola de nieve dentro de su organización de personas que pueden tratar de obtener el mismo reconocimiento. Más adelante, en este artículo, encontrarás más formas de celebrar a tu equipo.

3. Establezca una formación periódica para los empleados

No se puede tener una cultura sólida de security awareness sin formar a los empleados sobre las ciberamenazas actuales y lo que se intenta proteger. Sus empleados deben comprender hasta qué punto su organización corre riesgos y lo que está en juego.

En muchas organizaciones, la formación security awareness se ofrece solo una o dos veces al año para cumplir con normativas como el GDPR. Ese no es el tipo de formación del que hablamos aquí.

Para crear verdadera conciencia, la repetición es clave. Los estudios demuestran que el 90% de lo aprendido en un curso único se olvida a las dos semanas. Cuando se ofrece formación periódica, los empleados acumulan conocimientos con el tiempo y se produce un verdadero cambio de comportamiento. Es simplemente imposible crear una cultura de security awareness cuando los empleados tienen que pensar activamente en ello una o dos veces al año.

El gráfico muestra cómo la formación regular conduce a la retención de conocimientos

Cuando encuentre la solución de formación adecuada, asegúrese de que no se centra únicamente en phishing. Phishing es la mayor ciberamenaza, pero no la única. Necesitas un programa de formación que se centre en todos los temas relevantes, incluidos:

  • Phishing
  • Smishing
  • Trabajo a distancia seguro
  • Fraude al CEO
  • Actualización del software
  • ransomware

Por supuesto, no es necesario impartir esta formación en persona. Muchos especialistas en seguridad tienen dificultades para impartir formación básica en security awareness . No por falta de conocimientos, sino porque enseñar es una habilidad infravalorada que no todo el mundo posee. Explicar conceptos complejos en términos sencillos es todo un arte.

Con una solución como Guardey, tu equipo recibe cada semana un desafío en línea de 3 minutos para entrenarse security awareness. Este juego de security awareness está elaborado con la ayuda de profesionales de la seguridad y pedagogos.

4. Comunicación, comunicación, comunicación

Una vez que se ha conseguido la implicación y la formación, es hora de comunicar, comunicar y comunicar un poco más. Cualquier CEO conocido por crear una cultura empresarial sólida es conocido por repetir los valores fundamentales una y otra vez.

Como CISO, tiene que llamar la atención con regularidad y comunicar sus prioridades de seguridad y repetir la responsabilidad compartida que tiene todo el equipo.

Aparte de comunicar las políticas de seguridad y las actualizaciones importantes, que suelen ser un poco áridas (pero necesarias), utilice un ángulo positivo. Una buena forma de hacerlo es reconocer activamente, recompensar y celebrar abiertamente los comportamientos conscientes de la seguridad.

Comparta un mensaje en el canal Slack de la empresa sobre cómo Peter informó de una ciberamenaza que ahorró muchos problemas a la empresa. O comparta los resultados de su solución de formación security awareness y celebre a los mejores durante un discurso. Las opciones son infinitas.

La transparencia es la clave. Asegúrate de que tú y tu equipo sois accesibles y de que hay canales establecidos para que el resto de la organización también pueda ponerse en contacto contigo.

5. Medir, evaluar y mejorar

Medir es saber. Para saber si sus iniciativas en security awareness están dando resultado, tendrá que establecer algunos indicadores clave de rendimiento (KPI).

Si utiliza una solución de formación security awareness como Guardey, puede simplemente echar un vistazo a su panel de control y ver el rendimiento de su equipo. Semanalmente, obtendrá nuevos datos que le enseñarán en qué temas su equipo está obteniendo buenos resultados y en cuáles necesita más atención. También te muestra el grado de participación del equipo. Un alto índice de participación es clave y un indicador importante de que el equipo valora la formación.

Pero una forma infravalorada de medir los efectos de sus esfuerzos en security awareness es observar las señales no tan evidentes:

  • ¿Aumentan los informes sobre ciberamenazas?
  • ¿Se llaman los compañeros la atención unos a otros por comportamientos no deseados?
  • ¿Recibe más preguntas sobre seguridad en general?

Todos estos son signos claros de un mayor sentido de la responsabilidad. En el momento en que las personas de tu organización se vuelven proactivas, es cuando realmente se puede hablar de una cultura security awareness .

Si usted es un CISO, es posible que no siempre capte todas estas señales, especialmente en las grandes organizaciones. Por eso puede ser útil realizar una encuesta periódica para recabar opiniones.

Una vez reunidos todos estos datos, es importante utilizarlos y mejorar los procesos establecidos.

Su gente puede ser su mejor cortafuegos

Cultura" es una palabra fácil de usar y tirar. Es casi igual de fácil escribir un par de valores fundamentales y darlo por zanjado.

Pero fomentar una cultura de security awareness es un trabajo duro. Su organización, incluido su equipo directivo, puede verle como un obstáculo. Puede que consideren que la seguridad "no es su problema". Y cambiar esa actitud es difícil. Pero cuando lo hagas, los resultados merecerán la pena.

Recursos que pueden interesarle

Cyber security
Cyber security test para empleados: las 14 mejores opciones
Cyber security
Los 9 mejores concursos y juegos para prevenir el ciberacoso
Cyber security
Las 10 mejores evaluaciones para empleados de security awareness
Centro de recursos
Sitio web de Anouk CTA Guardey
PRUEBA GRATUITA DE 14 DÍAS

Experimente Guardey hoy mismo.

  • Pruebe completamente gratis
  • Asistencia 24/7
Prueba gratuita de 14 días