Así se permea la cultura de la seguridad TI

Descarga el PDF
Concept of businessman that searches virus

Como sabemos, los delincuentes informáticos suponen una grave amenaza para las empresas, pues pueden robar la propiedad intelectual corporativa. ¿Se necesita recordar algún caso, de nuevo? Por ejemplo, el gigante corporativo Sony. En 2014 hackers les hurtaron varias películas y las regalaron en internet antes de salir a cartelera. Impulsar una cultura de la seguridad al interior de las compañías es un tema urgente, pues perder la reputación puede ser peor que un par de filmes sin estrenarse.

Normalmente los ataques externos explotan las malas decisiones de seguridad por parte de los empleados internos, efectos que pueden ser amplificados por otras malas o incompletas directrices o políticas de protección de internet, pues hoy en día muchos trabajadores usan sus dispositivos personales para trabajar, tendencia que se conoce como BYOD (Bring your own device) o trae tu propio dispositivo.

Si tomamos en cuenta que según un estudio de Cisco muestra que 47% de los empleados están designados oficialmente como “trabajadores móviles”, pero que 60% usa un dispositivo móvil para su trabajo, 13% más que quienes están considerados oficialmente como “trabajadores móviles”, la seguridad y una cultura de responsabilidad en el uso de estos equipos es importante.

La responsabilidad para evitar problemas en una empresa es de todos, por lo que siempre es importante que al interior de la organización se tomen algunos consejos sobre cómo ayudar a crear una cultura de la seguridad cibernética.

POR UNA CULTURA DE LA SEGURIDAD BIEN DIGERIBLE

Siempre hay que tener en mente que la gente está más dispuesta a asumir la seguridad si los conceptos y la tecnología entregada es entendible, sin complicaciones. Este razonamiento ayuda a explicar por qué un enfoque básico de seguridad puede recorrer un largo camino.

Las contraseñas son importantes, son las llaves del reino. Tener una política de contraseñas y enseñar al personal cómo y por qué usarlas adecuadamente, serán una gran barrera contra los hackeos. Además, es recomendable hacer controles de rutina para asegurarse que sus empleados están en la misma sintonía.

Parches. Es crucial que las empresas de todos los tamaños tengan un programa de actualización de parches de seguridad, para nunca fallar en el tema de que todo el software y los sistemas se actualizan regularmente, y que las soluciones de emergencia pueden ser implementadas sólo como una necesidad emergente.

Limitar el acceso y hacerlo cumplir. No todo el mundo necesita acceso a todo, todo el tiempo. El hecho es que una mayor exposición a los datos o información sensible de la empresa, implica un mayor riesgo. Se pueden, y se deben, poner reglas que permiten a la mayoría de los usuarios el acceso sólo a quien lo necesita.

Inventario y monitoreo. Conozca lo que se tiene, etiquételo, sígalo y actualice lo que se añade o se elimina al sistema. Esto ayudará a asegurar la plataforma TI de la firma, además que impondrá una cultura de control en la tendencia BYOD al interior del corporativo, si es que no existe.

Invertir en la formación y sensibilización de los empleados. Cuando se trata de fortalecer la política de seguridad de una organización, el personal de TI es clave, pero no son los únicos que interactúan con las redes corporativas.

Otros trabajadores toman decisiones todos los días que pueden afectar negativamente la seguridad del negocio. Como resultado, se ha sabido desde hace tiempo que, para proteger a las organizaciones, los empleados necesitan conocimiento de ciberseguridad y uso correcto de los dispositivos.

Con esto en mente, es importante romper con “esa tradición” de la formación de empleados en unidades separadas a los de TI.

Fomentar el liderazgo de alto nivel para encarnar seguridad en la organización. El entrenamiento de los empleados en las buenas prácticas no sólo debe llega hasta ahí. Se puede hacer un esfuerzo sustancial y gastar recursos valiosos en el fortalecimiento de la situación de seguridad, pero se producirá un error si no hay un tono fuerte y consistente entregado desde la parte superior, es decir, un vigía de este tema, un defensor de las metas y objetivos.

Los líderes empresariales que hacen hincapié en el análisis de riesgos también puede contribuir a una cultura de seguridad positiva en el trabajo.

Una cultura de la seguridad cibernética organizacional depende no solamente en el trabajo de un grupo en el área de TI, sino más bien en las contribuciones de todo el personal. Un tema que hay que tomar muy en cuenta, si tomamos en cuenta que, según Cisco, sólo la mitad de las grandes empresas y el 41% de las firmas medianas tienen una política vigente en relación con el acceso a la red corporativa por parte de los dispositivos móviles de los empleados, y solo 31% cuenta con una política referida a los dispositivos no aprobados.