Autor: Edson Villar ,
Líder Regional de Consultoría en Riesgo Cibernético, Marsh Advisory LAC
02/28/2023
A lo largo de los años, las empresas han invertido millones de dólares en la implementación de controles técnicos. Sin embargo, han reducido sus presupuestos en entrenamiento para empleados, ya que no han dimensionado que son susceptibles a manipulación y a errores. Las empresas y los encargados de gestionar la seguridad de la información deben comprender que el factor humano y el aprovechamiento de la psicología, son tan importantes o más, que la tecnología y los procesos mismos
Las vulnerabilidades pueden ser explotadas por los ciberatacantes para comprometer a las organizaciones a través de sus empleados. Por eso resulta clave, construir una cultura de ciberseguridad en las empresas y poder para hacer frente a los riesgos cibernéticos asociados.
Según el Informe de Riesgos Globales 2022 del Foro Económico Mundial, el 95% de los ataques significativos comienzan por una falla humana. La anticipación es la clave y una cultura de ciberseguridad adecuadamente implementada es crítica para combatir las ciberamenazas hoy en día.
Una cultura de ciberseguridad va más allá de tener programas de concientización. Esta debe incorporar una cultura corporativa de acciones diarias que motive a los empleados a tomar decisiones bien pensadas y que estén alineadas con las políticas de seguridad.
Una buena cultura corporativa de seguridad debe enfocarse en que los empleados conozcan los riesgos de seguridad, los procesos para evitar estos riesgos y las formas de reportarlos de manera oportuna, en caso de incidente.
Es importante impulsar a los empleados a participar en la construcción de una cultura de ciberseguridad. Esto sin duda contribuirá a integrarla en las tareas diarias de los empleados, ayudándoles a entender que tienen un rol importante para mantener la empresa segura.
Una cultura de seguridad debe incluir una combinación tanto de conocimiento, como de seguimiento diario de las tareas laborales, así como de pruebas que permitan reforzar las lecciones.
Recordemos que ninguna organización es igual a otra. Por eso es importante conocer y atender las necesidades de la fuerza laboral, para construir una cultura centrada en las personas. Además de esta manera, será posible identificar vulnerabilidades, objetivo de ciberataque, buscando información organizacional crítica.
En la medida que los atacantes encuentren nuevas formas de explotar las vulnerabilidades humanas, las organizaciones deben reforzar sus programas de seguridad. Esto les permitirá mitigar y responder al riesgo que representa la explotación de estas vulnerabilidades, centrando las acciones en torno al ser humano y su conducta.
Un enfoque de seguridad centrado en las personas permite a las organizaciones, reducir significativamente la influencia de los sesgos cognitivos, que llevan al ser humano a cometer errores en la toma de decisiones.
¿Pero por qué estos sesgos son relevantes en una cultura de ciberseguridad? En seguridad de la información, un sesgo cognitivo que conduzca a un error en la toma de decisiones podría causar un daño significativo a una organización. Si no se comprenden los sesgos cognitivos y su gestión no se integra en los procesos de capacitación y concientización, el error humano seguirá representando un riesgo significativo para la seguridad de la información en las organizaciones.
De acuerdo a esto, es fundamental entender no solo los sesgos cognitivos, sino también los factores desencadenantes de estos riesgos y conocer las técnicas de ataque más comunes.
Solo de esta manera será posible diseñar una formación personalizada de los empleados, que se incluya en los programas de entrenamiento y en las campañas de sensibilización de la organización.
En Marsh, le ayudamos a construir o mejorar la cultura de ciberseguridad en su organización. No dude en contactar a nuestros consultores especializados en riesgos cibernéticos.