Con el fin de tener un entorno digital más seguro y resiliente, en 2018 se creó el mes de la Ciberseguridad. A partir de esto y de que los incidentes en ciberseguridad aumentan año tras año, muchas organizaciones han diseñado e implementado programas de transformación cultural en ciberseguridad, los que debieran considerar algunos aspectos.
Uno de ellos es la gobernabilidad del programa. En este sentido, el proceso de transformación de la cultura en ciberseguridad no es una tarea de un par de meses; al contrario, es un trabajo que requiere varios años para generar un cambio organizacional, por lo que se debe instaurar una gobernabilidad de la organización, que incorpore un liderazgo ejecutivo del programa, que sea visible para el resto de la institución. Para ello, debe existir un comité responsable de implementar el programa, integrado por líderes de todas las áreas.
Otros elementos a considerar
Antes de la implementación, se debe medir el nivel actual de la cultura en ciberseguridad, es decir, contar con un Índice de Cultura en Ciberseguridad (ICC) y contar con una evaluación del conocimiento que tienen los colaboradores sobre ciertos riesgos asociados al factor humano, como el phishing, ransomware y gestión de contraseñas, entre otros. Lo anterior nos permitirá focalizar los esfuerzos en la implementación.
Otro aspecto importante es la evaluación de los riesgos. Este proceso le permitirá conocer las amenazas más peligrosas para la compañía. En este caso, resulta preciso evaluar cada una de ellas desde un punto de vista de probabilidad de ocurrencia e impacto. El resultado final de este análisis permitirá conocer los riesgos más presentes en la empresa.
Cualquier cambio de cultura implica definir y evaluar los comportamientos y hábitos que deben modificarse en la empresa. Un ejemplo de ello puede ser contestar correos de personas que no se conocen, ingresar datos personales en concursos masivos, compartir una contraseña, o tener la misma contraseña en diversas cuentas. En ese sentido, es necesario evaluar constantemente el comportamiento de los usuarios, realizando ejercicios de simulación de phishing, Wi-Fi falsas o un ejercicio de simulación de ransomware.
Para generar un cambio radical en la organización, es necesario implementar un modelo de incentivos, en relación a la participación de los colaboradores. Estos impulsan a las personas a mejorar ciertas tareas. Al mismo tiempo, se requiere elaborar un cuadro de mando con métricas que permitan evaluar la efectividad y desempeño del programa, las que podemos clasificar en métricas estratégicas, operacionales, económicas y benchmaking.
A nivel ejecutivo, la métrica más importante a conocer es la evolución de ICC y, desde el punto de vista operativo, el porcentaje de personas que son víctimas de los ejercicios de phishing y que además no participan en las actividades del programa. Las métricas a implementar deben estar acordes al objetivo del programa.
De igual modo, se debe tener presente la intensidad del programa de transformación cultural que puede generar fatiga en ciberseguridad. En ese sentido, la periodicidad de los ejercicios de simulación de phishing puede producir el efecto contrario agotando a los colaboradores, resultando en una desconexión total de los empleados con el programa.
Finalmente, una medida adecuada para gestionar mejor el riesgo en organizaciones públicas y privadas es implementar un modelo predictivo de phishing, con foco en los colaboradores, y determinar, a partir de los datos, aquellos que tienen mayor riesgo de ser víctima de phishing.
