Cómo impulsar una cultura de ciberseguridad en mi empresa

Proteger tu negocio comienza con el recurso más valioso de tu empresa: tus colaboradores. Conoce por qué es importante fomentar una cultura de ciberseguridad y cómo puedes hacerlo.

La cultura de ciberseguridad en muchas organizaciones puede convertirse en un elemento retador, algo así como el scrum. En otras palabras: fácil de entender y difícil de dominar, y esto en ocaciones suele ocurrir debido a que la cultura, ética y comportamiento de los individuos que conforman la empresa son, a menudo, subestimados como un factor de éxito en las actividades de gobierno y gestión. 

Para satisfacer los objetivos de gobierno y gestión, cada empresa necesita establecer, personalizar y sostener un sistema de gobierno creado a partir de una serie de componentes. Estos componentes son factores que, de forma individual y colectiva, contribuyen al buen funcionamiento del sistema de gobierno de la empresa en cuanto a I&T (El gobierno de la Información y la Tecnología).

<<Ciberseguridad: en qué consiste y aspectos que deben seguir las empresas>>

Estos componentes deben interactuar entre sí, lo que da lugar a un sistema de gobierno holístico de I&T que pueden ser de diversos tipos, los más comunes son los procesos, sin embargo, los componentes de un sistema de gobierno incluyen también estructuras organizativas; políticas y procedimientos; elementos de información; cultura y comportamiento; habilidades y competencias; servicios, infraestructura y aplicaciones. Todos estos elementos que menciono, no los extraigo de una chistera, en este caso los tomo del marco de referencia actualizado de COBIT 2019 Framework.

Fuente: COBIT 2019 Framework: Governance and Management Objectives

Como se puede apreciar en la imagen anterior, la cultura es un elemento clave en este framework, porque hace parte de los componentes de su sistema como un elemento del subconjunto de gobierno. 

<<< Te puede interesar: ¿Cómo elaborar un plan de ciberseguridad para mi empresa? >>>

¿En qué consiste el Framework ISO/IEC 27001:2013?

Ahora veamos otro framework, uno de mis favoritos, ISO/IEC 27001:2013. En este punto observen los principios de gestión ISO, quiero destacar el 3ro:

1. Enfoque al cliente: Las organizaciones dependen de sus clientes por tanto deben comprender necesidades actuales y futuras.
2. Liderazgo: Proporciona unidad, propósito y dirección.
3. Participación de las personas: Son la esencia de la organización.

   Beneficios:

   • • Comprenden.
     • Identifican obstáculos.
     • Aceptan los problemas y los discuten.
     • Buscan oportunidades.
4. Enfoque de procesos: Es más eficiente cuando las actividades y los recursos se gestionan como un proceso.
5. Enfoque de sistema para la gestión: Identificar entender y gestionar los procesos interrelacionados como un sistema.
6. Mejora continua: Debería ser un objetivo permanente.
7. Enfoque basado en hechos para la toma de decisiones: Análisis de datos de Información.
8. Relaciones mutuamente beneficiosas con el proveedor: Relaciones mutuamente beneficiosas para aumentar la capacidad de ambos.

Cómo impacta el framework ISO/IEC 27001:2013 en la cultura de la ciberseguridad de tu empresa

Quiero nuevamente destacar el 3er principio la "participación de las personas" ya que en el ser refuerza y podemos encontrar indiscutiblemente a la cultura con un carácter holístico que debe implementarse en la organización como parte de todos los componentes del sistema, y para lograr esto incorpora elegantemente dentro de sus requisitos normativos y certificables, es decir "mandatorios"; la cláusula "7.3 Toma de conciencia" que reza lo siguiente:

Las personas que realizan trabajos bajo el control de la organización, deben tener en cuenta:

1. 1. La política de seguridad de la información.
   2. Su contribución a la eficacia del sistema de gestión de seguridad de la información, incluyendo los beneficios de un mejor desempeño de la seguridad de la información
   3. Las consecuencias de que no cumplan con los requisitos del sistema de gestión de seguridad de la información.

Para los que sienten curiosidad y no han tenido contacto alguno con esta norma que es altamente demandada en el mercado, o para los que quieren certificarse en ella, debemos resaltar o recordar que la palabra "deben" transforma este requisito normativo dándole un carácter de obligatoriedad, entendiendo entonces que debemos procurar transmitir los conocimientos necesarios a las personas para permitir desarrollar su juicio en cuanto a políticas de seguridad de la información, eficacia, desempeño y las consecuencias de su no cumplimiento.

Pero no se preocupen aquellos que puedan estar pensando que es imposible, no estamos solos si nos decantamos por este framework. No, no es así, al contrario recordemos que esta normativa en particular (ISO/IEC 27001:2013) que estamos citando, aborda a lo largo de su ANEXO A (Normativo), un conjunto de 14 cláusulas que contienen 35 objetivos y 114 controles cuyo fin es impulsar y garantizar un grado de desarrollo cultural a lo largo de la organización, y para alcanzar estos objetivos la normativa nos otorga lineamientos claros y precisos.

Citemos uno en particular, diseñado para abordar directamente la cultura, específicamente del dominio A.7 Seguridad, ligado a los recursos humanos específicamente el control A.7.2.2 Concientización, educación y formación en seguridad de la información, reza lo siguiente:

Todos los empleados de la organización y cuando sea pertinente, los contratistas, deben recibir una educación adecuada en concientización y formación y actualizaciones regulares en políticas y procedimientos organizacionales, relevantes para su función laboral.

Una vez dicho lo anterior, el mensaje es no preocuparnos pero si ocuparnos de las estrategias adecuadas en el marco del framework que cada quien considere oportuno adoptar, para atender de manera oportuna y con las estrategias adecuadas este punto tan relevante  y trascendental como lo es la cultura de ciberseguridad dentro de las organizaciones.

<< Si te intereso este tema, te invitamos a leer: Políticas de ciberseguridad en las empresas >>