Introducción
Desde hace ya casi dos años con la implantación obligatoria del teletrabajo, a consecuencia de la pandemia, las empresas han trabajado por instaurar las medidas técnicas necesarias para trabajar de manera segura. Es un objetivo que muchas de ellas ya lo han conseguido, pero otras muchas siguen trabajando en ello. Recordemos que la ciberseguridad se compone de dos partes imprescindibles: por un lado, las medidas técnicas de seguridad y, por otro, la formación en ciberseguridad de los trabajadores.
Actualmente, existen muchas empresas que ya han implantado esos métodos y herramientas técnicas para trabajar de manera segura, o, están trabajando en alcanzarlos, creando así una cultura basada en la ciberseguridad. Pero ahora es necesario trabajar en la otra parte que forma la ciberseguridad, y a la que no hemos dado importancia hasta ahora, la formación en ciberseguridad. Cada día son más las empresas que quieren crear una cultura de ciberseguridad en su entidad basándose en una formación en ciberseguridad adecuada a sus necesidades, así como en el sector al que se dedican.
¿En qué consiste la cultura de ciberseguridad?
Una buena y útil cultura de ciberseguridad en una organización recoge los hábitos, percepciones, normas y valores en relación con la seguridad, tanto física como cibernética. No debemos olvidar que los encargados de desarrollar esta cultura de ciberseguridad son las personas.
Por supuesto, esta cultura en ciberseguridad debe partir desde el CEO. El CTO, el COO y el Responsable de Compliance son los encargados de que esta cultura sea diseminada por la organización, de esta forma, todas las personas que la componen, trabajen con una cultura en ciberseguridad unificada. Si una organización quiere crear una buena cultura de ciberseguridad debe invertir en la formación en ciberseguridad de sus trabajadores.
¿Qué implica crear una cultura de ciberseguridad?
Crear una cultura de ciberseguridad no solo implica una inversión económica, ni siquiera tiene que ser una inversión elevada. Implica encontrar a profesionales especializados en formación en ciberseguridad. Que sepan impartir y hacer llegar de una forma amena los conocimientos mínimos que un empleado debería de tener para trabajar seguro en la organización y, a su vez, protegerla.
¿Cómo empezamos a crear cultura de ciberseguridad en la empresa?
1º El CEO y el resto del equipo directivo de la organización deben estar concienciados y creer en que crear una adecuada cultura de ciberseguridad será beneficioso para todas las partes implicadas: la organización, los trabajadores y ellos mismos.
2º Elegir a la empresa apropiada para impartir la formación en ciberseguridad que sus trabajadores necesitan, para ir interiorizando una cultura en ciberseguridad.
3º Crear una estrategia de promoción y comunicación de la cultura de ciberseguridad entre los empleados. Explicarles por qué las medidas técnicas instauradas no son suficientes si ellos no adquieren formación en ciberseguridad.
4º Proporcionar la formación en ciberseguridad necesaria a los empleados. Esta debe ayudarles a utilizar en su beneficio y, a modo de protección, las medidas técnicas de seguridad implantadas.
5º Requerir a los proveedores que inviertan en formación en ciberseguridad y que formen parte de la cultura de ciberseguridad de la organización.
¡Descarga la guía de Consejos de Ciberseguridad
y empieza a proteger la información de tu empresa!
La mejor manera de crear cultura de ciberseguridad es a través de formación en ciberseguridad
Una vez implantadas las medidas necesarias para proteger los sistemas y equipos conectados a Internet, y, ser conscientes de la importancia que tiene invertir en formación en ciberseguridad, tenemos que elegir la formación adecuada para los empleados.
A la hora de elegir quién impartirá esa formación en ciberseguridad debemos buscar profesionales en el sector, y que, además, sean formadores cualificados. La formación personalizada para la organización es la mejor opción para invertir en formación en ciberseguridad. Con este tipo de formación “a la carta” los empleados recibirán formación en ciberseguridad, esta se adapta a las necesidades de la organización y a sus casuísticas. Bien por estar en un sector determinado, o porque sus procesos son muy sensibles. La ciberseguridad es una prioridad para salvaguardar la información, creando a su vez una cultura en ciberseguridad que se ajuste como un guante a la organización.
Como en todas las formaciones, existen varios niveles: la formación básica, y la formación especializada. Por ejemplo, si la organización pertenece al sector industrial, la formación en ciberseguridad que mejor se adaptará será la compuesta por formación estándar, la mínima que todas las organizaciones deberían proporcionar a su personal, y la formación en ciberseguridad específica, adquiriendo los conocimientos en ciberseguridad centrados en su sector de actuación, en este ejemplo la industria.
Una vez que los empleados adquieran la formación en ciberseguridad necesaria, la cultura de ciberseguridad se irá desarrollando por sí sola. Llegados a este punto, todos los que forman parte de la organización estarán concienciados en que la formación en ciberseguridad es importante, y en que las medidas de seguridad serán insuficientes sin esa formación.
Además, esta cultura de ciberseguridad se diseminará poco a poco entre clientes, proveedores, interesados y cualquiera que tenga que ver con la organización. Entre los clientes, por ejemplo, porque tendrán más confianza en la empresa y lo verán como un valor añadido a los productos y servicios ofrecidos, haciendo que ellos también quieran crear esta cultura de ciberseguridad en su empresa.
Entre los proveedores, porque será algo que la propia organización les exija. Imagina que después de haber trabajado tan duramente en que tu organización sea cibersegura, y uno de los proveedores no se ha tomado tan enserio la ciberseguridad. Entonces este tiene un incidente de ciberseguridad dañando así la imagen corporativa, no solo de si mismo, sino también de las organizaciones que trabajen con este proveedor.
¿Por qué es importante crear una cultura de ciberseguridad en una organización?
Principalmente porque evitará problemas, disgustos, complicaciones, malentendidos y pérdidas. Además, de generar confianza, ya no solo entre los proveedores y clientes, sino también entre los empleados.
Desde el comienzo de la pandemia mundial el número de ciberataques se ha triplicado. Meses atrás los ciberdelincuentes lo han tenido muy fácil para atacar a muchas organizaciones. La mayoría de ellas carecían de planes de contingencia y de continuidad de negocio. Se tenía instaurado el concepto de que teletrabajar era proporcionar un portátil a cada empleado y ya podían empezar a trabajar. Y no falta parte de razón, pero, hacerlo sin medidas de seguridad y sin una formación en ciberseguridad básica, ¿crees que es lo adecuado?
El 20% de las organizaciones tenían implantadas medidas técnicas de ciberseguridad, pero sus empleados carecían de formación en ciberseguridad. El 80% restante, no tenían ni medidas técnicas ni formación en ciberseguridad.
Fomentar una apropiada cultura de ciberseguridad es importante por muchas razones. Algunas ya mencionadas con anterioridad, pero, nos faltaría destacar el trabajo ingente que han tenido que desarrollar los CTO de las organizaciones. Han invertido tiempo en analizar de forma minuciosa qué medidas implantar y cómo hacerlo. Tarea que en algunos de los casos han asumido sin disponer de formación en ciberseguridad adecuada, careciendo así de los conocimientos necesarios en ciberseguridad o de la normativa vigente. Suponiendo, además, un coste económico para las organizaciones mucho mayor del que se debería si estas se hubieran realizado en tiempo y forma.
Muchas organizaciones están aprovechando que tienen que implantar medidas de ciberseguridad para implantar aquellas que se adecúen a las requeridas para los Sistemas de Gestión de la Seguridad de la Información y así poderse certificar en las Normas ISO 27001 e ISO 27701.
Todo este trabajo y esfuerzo realizado por el CTO y por el Departamento de Compliance sería en vano si los empleados no reciben formación en ciberseguridad. Ya que de nada sirve invertir miles de euros, ni el tiempo que ello requiere, en implantar medidas técnicas. Por ejemplo, imagina que un empleado recibe un correo fraudulento, pero no sabe detectarlo, entonces abre el archivo adjunto cifrando así todos los datos de la organización. Lo acontecido después es fácil de imaginar, lo más seguro es que pedirán un rescate económico para recuperar los datos y el control de la organización. Sinceramente, seguro que implantar una cultura de ciberseguridad es mucho más económico y relajado.
Qué beneficios tiene la organización cuando invierte en crear una cultura de ciberseguridad
-
Aumento de la confianza entre clientes, proveedores y empresarios
-
Evitar pérdidas económicas
-
Fomentar una continua formación
-
Ahorro de dinero
Conclusión
Resumiendo, crear una cultura de ciberseguridad es muy beneficioso para cualquier organización que se precie, que se preocupe por sus datos, por los de sus colaboradores, clientes, proveedores, trabajadores, interesados. Cada día son muchas más las personas concienciadas sobre la importancia de añadir una cultura en ciberseguridad. La cultura en ciberseguridad es primordial para mejorar los sistemas, las organizaciones, independientemente de su tamaño o sector y, por supuesto, nuestras vidas privadas.
Para crear una cultura en ciberseguridad en la organización que se interiorice de forma natural, debes contar con profesionales en el sector como Grupo CFI. Serán de gran ayuda para lograr el objetivo.
Si necesitas implantar servicios de Ciberseguridad en tu empresa,
contacta con uno de nuestros expertos
Isabel López Aguilera
Departamento de Comunicación de Grupo CFI