22 de diciembre de 2024
RRHHDigital - El periódico online referente en Recursos Humanos

Consejos para que tu plantilla adquiera cultura en ciberseguridad

Consejos para que tu plantilla adquiera cultura en ciberseguridad
  • Las personas juegan un rol fundamental para evitar y detectar incidentes de seguridad en las empresas
  • La formación y concienciación en seguridad son algunos de los controles más eficientes y eficaces para prevenir incidentes

Las personas son fundamentales en la estructura de seguridad de cualquier organización. En este sentido, es vital fomentar una cultura que integre el componente humano como elemento esencial de la ciberseguridad. Sin embargo, la implantación de esta cultura no es un proceso que se logre de manera inmediata. Requiere un ciclo de mejora continua, cuyos objetivos incluyen la identificación de comportamientos y actitudes en el personal que puedan representar un peligro para la seguridad de la organización, y la puesta en marcha de estrategias pertinentes para reducir dichos riesgos. 

Para conseguir estos objetivos, la boutique tecnológica experta en ciberseguridad, BeDisruptive, ha elaborado una lista con cinco consejos para que las empresas puedan alcanzar sus objetivos en el que es uno de los controles más eficientes para evitar y detectar incidentes de seguridad. 

La seguridad es cosa de todos

Aunque la responsabilidad principal recae en los propietarios de los activos, el resto del personal juega un papel crucial en la protección de los recursos de la empresa. En el caso de amenazas como el ransomware, los empleados representan la primera línea de defensa. La capacidad de un empleado para identificar un intento de phishing, que a menudo es el precursor de un ataque de ransomware, puede ser un factor decisivo para prevenir un incidente de seguridad mayor. Por ello, es esencial capacitar y educar a los trabajadores para entender que la ciberseguridad es una responsabilidad de toda la organización. Los empleados deben poder identificar situaciones sospechosas y reportarlas a los equipos de gestión de incidentes a través de canales claros, conocidos y ágiles, ya que el tiempo de respuesta es crítico para minimizar el impacto de un incidente. 

Establecer un programa de seguridad basado en la mejora continua

Los programas de seguridad deben basarse en la mejora continua. Aunque este proceso requiere una inversión significativa de recursos financieros y humanos, se convierte en una inversión estratégica que impulsa el logro de los objetivos a largo plazo y fortalece la resiliencia organizativa. Después de un incidente de ransomware, por ejemplo, es crucial analizar los eventos y ajustar las políticas y prácticas de seguridad para prevenir futuras infecciones. En este sentido, es aconsejable contar con la orientación de profesionales con experiencia en este campo, ya que estos dispondrán de metodologías, herramientas y programas que permitan una implementación eficiente y se puedan adecuar a las necesidades de cualquier organización de manera eficaz reduciendo tiempos y esfuerzos y, por ende, abaratando costes. 

Conseguir el apoyo de la alta dirección

La dirección debe proporcionar los recursos necesarios para este proceso, entendiendo que la inversión en ciberseguridad no es un gasto, sino una medida estratégica para proteger la organización. La métrica ROSI (Retorno de la Inversión en Seguridad de la Información) puede ayudar a ilustrar este punto, demostrando el valor de las prácticas de seguridad robustas para minimizar los riesgos que afectan a la organización. En el caso de un ataque de ransomware, por ejemplo, los costes asociados con la recuperación de los sistemas pueden ser considerablemente mayores que la inversión inicial en medidas de seguridad eficaces. Por lo tanto, la alta dirección tiene un papel vital en garantizar que se priorice y se financie la concienciación en seguridad de la información. 

Trabajar de manera continua la concienciación y formación en ciberseguridad

La concienciación y formación en seguridad deben estar basadas en la mejora continua, como todos los procesos que conforman la seguridad de la información. Por tanto, las empresas deben enfocar sus esfuerzos en impulsar cambios en el comportamiento de todas las personas involucradas, adaptando las técnicas de formación a cada público objetivo. Por ejemplo, la concienciación para la alta dirección, que suele enfrentar diferentes tipos de amenazas que los equipos de TI, debería ser diseñada de forma personalizada. 

Las formaciones deben ser impactantes, entretenidas y promover la competitividad entre los equipos. Existen múltiples formatos que cumplen con estas características, desde la gamificación hasta retos para los equipos técnicos como la captura de la bandera o desafíos de hacking, siempre adecuados al nivel de conocimiento del público objetivo.

Evaluar la concienciación actual y marcar objetivos

La medición es esencial para poder mejorar. Es imprescindible definir objetivos claros, establecer indicadores clave de rendimiento (KPIs) que midan el logro de estos objetivos y, sobre todo, evaluar la eficacia del programa de ciberseguridad a lo largo del tiempo. Un ejemplo práctico podría ser la implementación de una formación sobre phishing: tras la formación, se podría lanzar un simulacro de ataque de phishing a los empleados de la compañía. Si se descubre que un gran número de ellos reporta correctamente el incidente simulado, indicaría que se está en el camino correcto. 

“Es fundamental transformar la ciberseguridad en un tema accesible y comprensible para las personas, fomentando un cambio en su actitud y una mayor sensibilidad ante los riesgos, tanto en su vida laboral como personal.  La formación y concienciación en seguridad son algunos de los controles más eficientes y eficaces para prevenir incidentes. Cualquier inversión en este punto servirá para reducir los riesgos de ciberseguridad, algo ya estratégico en cualquier compañía.  Además, realizamos una labor social al ayudar a nuestros empleados a detectar amenazas no solo en su vida laboral, sino también personal”, afirma Arturo Belda, Consultancy Director de BeDisruptive.

NOTICIAS RELACIONADAS

DEJA UNA RESPUESTA

Los lectores opinan

¿Qué tendencia en RRHH crees que transformará más las organizaciones en 2025?

Ver los resultados

Cargando ... Cargando ...
Lo más leído

Regístrate en el boletín de RRHHDigital

* indicates required
Opciones de Suscripción
En cumplimiento de lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, "LOPD"), EDICIONES DIGITALES SIGLO 21, SL., le informa de que los datos de carácter personal que nos ha proporcionado mediante la cumplimentación de cualquier formulario electrónico que aparece en nuestras Web Site, así como aquellos datos a los que EDICIONES DIGITALES SIGLO 21, SL. acceda como consecuencia de su navegación, de la consulta, solicitud o contratación de cualquier servicio o producto, o de cualquier transacción u operación realizada a través de las Webs de nuestro grupo editorial EDICIONES DIGITALES SIGLO 21, SL., serán recogidos en un fichero cuyo responsable es EDICIONES DIGITALES SIGLO 21, SL. provista de CIF B86103140 con domicilio a estos efectos en Calle Comandante Franco, 24 28016, Madrid. Con carácter general, los datos de carácter personal que nos proporcione serán utilizados para atender sus solicitudes de información, así como informarle sobre nuevas actividades, productos y servicios de EDICIONES DIGITALES SIGLO 21, SL. Aquí puede leer nuestro aviso legal y política de privacidad.
rrhhdigital