¿Qué es la “cultura de la seguridad”? Es un conjunto de ideas, costumbres y comportamientos sociales de una organización que influyen en su seguridad. Esta es una de las piezas clave de la estrategia de seguridad de una organización, ya que la cultura de seguridad es fundamental para garantizar la protección de la información, los datos y la privacidad de los empleados y clientes.
Algunas empresas están empezando a entenderlo. Están yendo más allá de los enfoques tácticos y episódicos de la seguridad y reconociendo que la seguridad efectiva en toda la empresa requiere un enfoque estratégico a largo plazo, centrándose más en la comunicación y la cultura de seguridad que en las exhortaciones de TI y un flujo continuo de nuevos mandatos de políticas y procedimientos.
El mercado cibernético ha ido evolucionando. Inicialmente, la atención se centró en las soluciones técnicas. Luego, la introducción de certificaciones como ISO 27001 y Cyber Essentials alentó la creación de políticas, estándares y procesos para mejorar la resiliencia cibernética.
Las empresas están bajo presión para intensificar la ciberseguridad, dada la magnitud y la escala de lo que está en juego. Cybersecurity Ventures pronostica que los costos globales de los delitos cibernéticos aumentarán un 15 % anualmente durante los próximos cinco años, alcanzando los 10,5 billones de dólares en 2025.
Hay algunos pasos prácticos y procesables que las organizaciones pueden tomar para desarrollar y fomentar una cultura de seguridad sólida en dimensiones diferentes.
Actitudes: Sentimientos y Creencias de los Empleados respecto a los Protocolos y Problemas de Seguridad.
Comportamientos: Acciones de los empleados que impactan directa o indirectamente la seguridad.
Cognición: Conciencia, comprensión, conocimiento de los empleados sobre cuestiones y actividades de seguridad.
Comunicación: es un elemento clave para construir un sentido de pertenencia entre los miembros de un equipo y promover un entorno seguro. Los canales de comunicación adecuados pueden ayudar a promover la conciencia de la seguridad, aumentar el compromiso con la seguridad y proporcionar una plataforma para la discusión de problemas relacionados con la seguridad. Una comunicación adecuada también puede ayudar a los equipos a informar sobre incidentes de seguridad y buscar soluciones para prevenir futuros incidentes.
Normas: Conocimiento y cumplimiento por parte de los empleados de las reglas de conducta no escritas relacionadas con la seguridad.
Responsabilidades: cómo los empleados perciben su papel como un factor crítico para ayudar o dañar la seguridad.
La cultura de seguridad es un activo crítico y necesario en la caja de herramientas de seguridad. Al evaluar la conciencia, los comportamientos y la cultura de seguridad de los empleados, las organizaciones pueden adaptar sus políticas y programas de capacitación al panorama de amenazas en constante cambio. La alternativa se vuelve menos atractiva cada hora: no hacer nada y ver cómo su organización se derrumba por el ransomware, el robo de datos o la interrupción del negocio.
Las organizaciones deben trabajar para crear una cultura de seguridad a través de la educación, el compromiso y la confianza. Esto es esencial para lograr una seguridad efectiva en toda la empresa y proteger a los empleados, los clientes y la empresa de los riesgos cibernéticos.