El tema de la seguridad informática debe ser central y discutido abiertamente en las empresas. No solo en las pocas veces de casos de accidentes imprevistos, en los cuales el departamento de TI está exclusivamente señalado. La seguridad informática debería ser un tema que se extienda a todo el personal de la empresa. Entre los intentos de phishing y los ataques DDoS, todos aquellos que se mueven en la web están potencialmente expuestos a cientos de amenazas. No importa ahora si el usuario accede a Internet desde un dispositivo privado o desde el PC de la oficina: la amenaza se extiende a todos los dispositivos.
Problemas detectados por un estudio de seguridad informática
El Reporte de Cultura de seguridad informática del 2018 por el ISACA y el Instituto CMMI muestra cómo las medidas de seguridad de TI ya se han consolidado en la mayoría de las empresas, pero aún están lejos de alcanzar la cobertura deseada. De los 4,815 encuestados, solo el 5% dijo que su compañía tiene una cultura sólida en términos de seguridad de la información.
El 95% restante todavía ve un margen de mejora. Nueve de cada diez participantes en el estudio confían en que los esfuerzos adicionales conducirán a una mayor rentabilidad para la empresa. En muchos casos, más precisamente, el 42% de las empresas carece de un plan bien estudiado. Esto también afecta a los empleados: el 19% se quejan de que su empresa tiene poca o ninguna idea de cómo la seguridad de TI es un factor central.
¿Quién es responsable de la seguridad informática en la empresa? Según la mayoría de los entrevistados, CISO (60%) o CIO (47%). A diferencia de los resultados del informe, ISACA y el Instituto CMMI recomiendan a las empresas crear un equipo responsable de la ciberseguridad que combine las habilidades y el conocimiento de los profesionales en administración, seguridad de la información, TI, recursos humanos, en el aspecto legal y de marketing. Ninguno debe quedarse por fuera.
Cada empleado es responsable de su seguridad informática
¿Cómo se puede anclar el tema de la seguridad de la información en la mente de los empleados, desde el alumno hasta el CEO? La forma más fácil de ingresar a los sistemas de una compañía es a través de los empleados. Según el Informe sobre la cultura de la seguridad informática, la mayoría de las empresas tienen la intención de avanzar en la seguridad de TI mediante la capacitación de sus empleados (80%) o mediante pautas de comportamiento (79%). En verdad, es más fácil decirlo que hacerlo: implementar las medidas necesarias puede ser una tarea muy difícil. En un artículo de Harvard Business Review, Maarten Van Horenbeeck explicó por qué cree que estos métodos no son completamente efectivos:
Las directivas son a menudo demasiado complejas
Las reglas a menudo asociadas con la tentativa no ayudan a ciertos empleados a tomar en serio la seguridad informática. Por ejemplo, Van Horenbeeck cita el cambio de contraseña normal requerido por muchas compañías. Los empleados a menudo REDUCEN para poner en mayúscula la primera letra o agregar un número. Muchos empleados ignoran la importancia de contraseñas más largas y complejas y acaban por escribirlas en un lugar visible para todos en su escritorio. La seguridad informática requiere una actitud diferente. Para evitar estos problemas de manera profesional, las empresas deben abandonar las reglas obsoletas y confiar en soluciones como el administrador de contraseñas o la identificación de dos factores.
Los cursos de formación abruman a los empleados
En principio, la formación es importante. A menudo los días de entrenamiento son numerosos y los empleados son bombardeados con información. No es de extrañar que la atención disminuya gradualmente. Una solución sería ofrecer a los empleados capacitación individual de acuerdo con sus necesidades y conocimientos de seguridad de la información.
La impopularidad de los gerentes de TI
Desafortunadamente, a menudo este campo se relaciona con una mala reputación. Muchos empleados asocian la TI con aspectos negativos, como largos tiempos de espera o monitoreo. Las empresas se ven obligadas a fortalecer la relación entre TI y el resto de la empresa. Sólo de esta manera la seguridad informática está en la mente de los empleados. La pregunta en este punto es ¿cómo? – Van Horenbeeck, por ejemplo, en su artículo apoya la necesidad de una cultura corporativa abierta. Para este fin, en su opinión, recomienda la introducción de “horas de oficina”, es decir, ventanas de tiempo en las que los empleados pueden expresar sus inquietudes sobre la TI.
Afortunadamente, cada vez más empresas están reconociendo la importancia de la seguridad informática al hacer del tema una parte integral de su cultura corporativa con medidas como pautas de comportamiento o capacitación de empleados. Sin embargo, para que estos pasos sean realmente exitosos, no solo es necesario un proyecto bien pensado. Todo debe ser estudiado para que los empleados puedan implementarlo en la medida deseada.
¡No te detengas aquí! Te puede interesar leer
La destrucción creativa de la innovación digital
La seguridad cibernética aplicada a tu Startup
Los hackers aprovechan las fallas de la raza humana