CONCIENTIZACIÓN DE CIBERSEGURIDAD ENFOCADA HACIA C-SUITE: ¿Por qué es tan importante?
La ciberseguridad -desde hace tiempo- no es un problema de exclusiva competencia del departamento de IT o el departamento de seguridad de la información. La ciberseguridad tampoco es un problema que se previene con una estructura piramidal o un monitoreo externo, ni tampoco con la compra de costosos y exclusivos softwares que prometen prevención total con mínima asignación de personal para su implementación.
El delito informático se mantiene en constante evolución, es transversal a toda organización y en un 98% de los casos depende de un factor crítico para su éxito: la interacción humana. El cibercriminal (llámese hacker, etc.) tiene muchas más oportunidades de ‘infiltrar o penetrar’ una organización vía ingeniería social que, analizando mediante ensayo y error, las vulnerabilidades de una arquitectura de seguridad digital.
Los ciber-delitos van en alza, en casi todas sus modalidades, con estadísticas verdaderamente preocupantes; sólo en México, se contabilizan un aproximado de 7000 ataques diarios de los cuales muchos son realizados con éxito. * https://bit.ly/3yROtbS *
Hoy por hoy es práctica común involucrar a todos los empleados en la prevención de los ciberdelitos mediante talleres/charlas de concientización en ciberseguridad, y gracias a la recurrencia semestral o anual de ello, muchas organizaciones han reforzado sus niveles de prevención, logrando reducir vulnerabilidades básicas.
¿Pero qué pasa cuando enfrentamos a un atacante cibernético persistente o APT (Advanced Persistent Threat) que está determinado a extraer información confidencial o a un infiltrado (insider) quien molesto con la organización, quiere perjudicarnos, robar data sensitiva o exponer información personal de la directiva en el Dark Web?
Es ahí es donde se requiere de un segundo nivel de comprensión y supervisión que sólo puede ser ejecutado, en el día a día, por la gerencia o directores de área que componen una organización.
Concientizar al C-Level, no es igual que concientizar al empleado. C-Level tiene responsabilidades de supervisión de personal aparte de otras inherentes a su cargo por lo que recargar a ese individuo de información técnica, sólo logra abrumarlo en su tarea de evaluar el estatus de ciberseguridad en su dominio.
Ha sido nuestra experiencia en los talleres de concientización en ciberseguridad para C-Level, que muchos de los gerentes o directores confunden la tarea de la supervisión del uso de buenas prácticas de prevención de amenazas cibernéticas con mayores controles de seguridad físicos, como por ejemplo la instalación de más cámaras de monitoreo de personal, etc. Por el contrario, nosotros predicamos la prevención de ese tipo de delitos en una buena `conciencia situacional´ del entorno de responsabilidad del gerente/director.
El concepto de conciencia situacional proviene del ámbito militar, pero es perfectamente aplicable a las funciones de prevención que debe realizar el C-Level hoy en día dado que significa: la evaluación de nuestra interacción con el entorno…y en este caso, nuestro entorno digital.
¿Pero a qué se refiere nuestra interacción con el entorno? Se refiere a mantener control de la dinámica digital que nos rodea. Lo anterior se logra de muchas maneras, pero para efecto de este artículo mencionamos tres:
Comprender las amenazas a las que está expuesta la organización y específicamente nuestra sección, departamento o división.
Conocer y haber practicado los planes de contención, así como los protocolos de respuesta ante un determinado incidente cibernético (Ransomware, sabotaje, etc.).
Identificar anomalías en el comportamiento del personal a cargo (cambios en las rutinas, depresión, ansiedad, etc).
Cumplir a cabalidad con estos tres puntos empodera a un gerente o director con el don de la anticipación. Si conoce las amenazas a que están sujetos, entiende las vulnerabilidades de su entorno. Si además conoce y ha participado en simulacros de incidentes cibernéticos, sabrá como proceder al momento del hecho, de una manera coordinada y oportuna lo que puede ser fundamental para la contención de un incidente.
Pero si adicionalmente ese gerente o director es suficientemente perspicaz para notar cambios entre el personal a su cargo, podrá identificar a tiempo vulnerabilidades que van desde la predisposición para errores o fallas de cumplimiento, hasta la posible acción de un infiltrado (insider) para la exfiltración de información sensible.
Obviamente hay más elementos que tomar en consideración, pero serán motivo de otro papel de trabajo más adelante. Lo que sí es importante recordar, es que la ciberseguridad es una corresponsabilidad entre los diferentes niveles de una organización. Si entendemos eso, comprendemos la importancia de concientizar sobre los riesgos cibernéticos a nuestro personal, pero muy especialmente a nuestro personal gerencial y/o directivo que representa el nivel sustantivo de la organización.
Si deseas más información sobre nuestros talleres de concientización, dale clic al botón: