Proteger tu negocio comienza con el recurso más valioso de tu empresa: tus colaboradores. Conoce por qué es importante fomentar una cultura de ciberseguridad y cómo puedes hacerlo.
La cultura de ciberseguridad en muchas organizaciones puede convertirse en un elemento retador, algo así como el scrum. En otras palabras: fácil de entender y difícil de dominar, y esto en ocaciones suele ocurrir debido a que la cultura, ética y comportamiento de los individuos que conforman la empresa son, a menudo, subestimados como un factor de éxito en las actividades de gobierno y gestión.
Para satisfacer los objetivos de gobierno y gestión, cada empresa necesita establecer, personalizar y sostener un sistema de gobierno creado a partir de una serie de componentes. Estos componentes son factores que, de forma individual y colectiva, contribuyen al buen funcionamiento del sistema de gobierno de la empresa en cuanto a I&T (El gobierno de la Información y la Tecnología).
<<Ciberseguridad: en qué consiste y aspectos que deben seguir las empresas>>
Estos componentes deben interactuar entre sí, lo que da lugar a un sistema de gobierno holístico de I&T que pueden ser de diversos tipos, los más comunes son los procesos, sin embargo, los componentes de un sistema de gobierno incluyen también estructuras organizativas; políticas y procedimientos; elementos de información; cultura y comportamiento; habilidades y competencias; servicios, infraestructura y aplicaciones. Todos estos elementos que menciono, no los extraigo de una chistera, en este caso los tomo del marco de referencia actualizado de COBIT 2019 Framework.
Fuente: COBIT 2019 Framework: Governance and Management Objectives
Como se puede apreciar en la imagen anterior, la cultura es un elemento clave en este framework, porque hace parte de los componentes de su sistema como un elemento del subconjunto de gobierno.
<<< Te puede interesar: ¿Cómo elaborar un plan de ciberseguridad para mi empresa? >>>
Ahora veamos otro framework, uno de mis favoritos, ISO/IEC 27001:2013. En este punto observen los principios de gestión ISO, quiero destacar el 3ro:
Beneficios:
Quiero nuevamente destacar el 3er principio la "participación de las personas" ya que en el ser refuerza y podemos encontrar indiscutiblemente a la cultura con un carácter holístico que debe implementarse en la organización como parte de todos los componentes del sistema, y para lograr esto incorpora elegantemente dentro de sus requisitos normativos y certificables, es decir "mandatorios"; la cláusula "7.3 Toma de conciencia" que reza lo siguiente:
Las personas que realizan trabajos bajo el control de la organización, deben tener en cuenta:
Para los que sienten curiosidad y no han tenido contacto alguno con esta norma que es altamente demandada en el mercado, o para los que quieren certificarse en ella, debemos resaltar o recordar que la palabra "deben" transforma este requisito normativo dándole un carácter de obligatoriedad, entendiendo entonces que debemos procurar transmitir los conocimientos necesarios a las personas para permitir desarrollar su juicio en cuanto a políticas de seguridad de la información, eficacia, desempeño y las consecuencias de su no cumplimiento.
Pero no se preocupen aquellos que puedan estar pensando que es imposible, no estamos solos si nos decantamos por este framework. No, no es así, al contrario recordemos que esta normativa en particular (ISO/IEC 27001:2013) que estamos citando, aborda a lo largo de su ANEXO A (Normativo), un conjunto de 14 cláusulas que contienen 35 objetivos y 114 controles cuyo fin es impulsar y garantizar un grado de desarrollo cultural a lo largo de la organización, y para alcanzar estos objetivos la normativa nos otorga lineamientos claros y precisos.
Citemos uno en particular, diseñado para abordar directamente la cultura, específicamente del dominio A.7 Seguridad, ligado a los recursos humanos específicamente el control A.7.2.2 Concientización, educación y formación en seguridad de la información, reza lo siguiente:
Todos los empleados de la organización y cuando sea pertinente, los contratistas, deben recibir una educación adecuada en concientización y formación y actualizaciones regulares en políticas y procedimientos organizacionales, relevantes para su función laboral.
Una vez dicho lo anterior, el mensaje es no preocuparnos pero si ocuparnos de las estrategias adecuadas en el marco del framework que cada quien considere oportuno adoptar, para atender de manera oportuna y con las estrategias adecuadas este punto tan relevante y trascendental como lo es la cultura de ciberseguridad dentro de las organizaciones.
<< Si te intereso este tema, te invitamos a leer: Políticas de ciberseguridad en las empresas >>
Netdata es reconocido como uno de los mejores partner de servicio de ciberseguridad en todo el mundo, nombrado por fabricantes líderes del mercado. Nuestro talentoso equipo respalda una amplia gama de servicios de seguridad de red y nube, servicios de identidad, implementación de tecnología, gestión de amenazas y respuesta a incidentes de ciberseguridad.
Todos los derechos reservados © Netdata 2024 | Políticas de seguridad | Política para el manejo de datos personales | Política de calidad