En los entornos organizacionales es común hablar sobre cultura de seguridad y riesgos laborales, lo cual está muy bien, sin embargo, ¿de qué se habla cuando hablamos de “seguridad” en la cultura organizacional? Usualmente se refiere a las prácticas, hábitos, normas y nociones enfocadas en cuidar de la salud y el bienestar de nuestros trabajadores, lo cual, una vez más, está muy bien; no obstante, con la creciente digitalización del mundo, han surgido legislaciones en materia de protección de información y los datos que manejamos como organización y que cada día cobran mayor importancia –con justa razón–, el tema es que en ocasiones estas dimensiones de la seguridad de la información no son atendidas como parte de la seguridad en la empresa.
Por eso en este post hablaremos sobre cómo lograr fomentar la seguridad de la información como parte definitiva de la cultura organizacional, disminuyendo así riesgos de ciberataques, que podrían tener implicaciones operativas, de cumplimiento y hasta financieras y reputacionales.
Cultura de seguridad… de la información
Lo primero que hay que hacer es derribar algunas suposiciones o “lugares comunes”, por ejemplo, el creer que por tener una cierta capacitación en materia de seguridad de la información ya hay una clara consciencia al respecto y no hay mucho más que hacer que continuar con esos entrenamientos o capacitaciones.
Si esto fuera así, en general, la gente no robaría, no rebasaría límites de velocidad ni los menores de edad fumarían, ya que es claro hay normas al respecto. Esto se desprende de la teoría económica racional (rational choice) que decía que supuestamente las personas tomamos decisiones “fríamente calculadas”. Esto fue a inicios del siglo pasado (¡hace casi más de 100 años!). Después vendría el conductismo a demostrar que más bien tomamos decisiones basados en emociones y en la presión social, lo cual explica uno de los ataques de ciberseguridad más recurrentes y efectivos: la ingeniería social.
Otra de los prejuicios más comunes, son aquellos que dicen que los millennials o adultos jóvenes, (digamos, aquellos con menos de 35 años), al haber crecido en la era de la información (con el internet, la digitalización y luego las redes sociales), entienden mejor sobre el correcto uso de los datos y tienen prácticas más seguras al respecto.
Por el contrario, en un estudio llevado a cabo por el Director del Centro para la Metodología e Informática de la Universidad de Ljubljana (“Liubliana”) en Eslovenia, se analizaron las respuestas de más de 10 000 empleados de 38 compañías en Noruega y Suecia, y se halló que, contrario a lo que el propio director (y muchos junto con él) creía, los comportamientos seguros están más bien asociados a edades más “maduras”, tanto para comportamientos en la red, trato de información y seguimiento de reglas y normas, tanto sociales en general como laborales en específico.
Otro de los hallazgos interesantes de este estudio fue que las mujeres tienen mayor apego a las normas y prácticas de seguridad de la información que lo hombres, así que incluso aquí vemos que la perspectiva de género tiene algo que decir.
Cómo conseguir una cultura de seguridad de la información en mi organización
Ya vimos los prejuicios de los que hay que deshacerse, ahora veremos lo que hay que hacer para conseguir una cultura de seguridad de la información en nuestros lugares de trabajo.
Hablar de cultura es, una vez más, hablar de un conjunto de hábitos, disposiciones y creencias recurrentes que forman parte de un grupo en específico, aquí hay mucho de psicología social, toda vez que los grupos se componen de individuos que, si bien piensan a título personal, son fuertemente influenciados por el comportamiento a su alrededor. A esto se le llama “la presión de los pares”: la influencia del comportamiento deseado por el grupo que termina determinando el comportamiento individual de sus miembros. Para decirlo con palabras llanas: “a donde fueres, haz lo que vieres”.
Así, utilizando este principio comprobado en varias ocasiones en diversos estudios, tenemos que, por ejemplo, la gente en un restaurante chino buscará utilizar los palillos para comer y rara vez pedirá cubiertos a los que está acostumbrado, o por ejemplo, cuando en la calle a un repartidor de volantes algún transeúnte se le niega a recibir el impreso, es muchísimo más factible que alguien detrás de él también lo haga, y viceversa. La explicación es fácil: somos seres sociales, “animales políticos” dijera Aristóteles.
Entonces, ante las recurrentes quejas sobre la falta de resultados de los programas de concienciación en seguridad de la información, parece ser que la idea de entrenar a la gente para cambiar su comportamiento es errónea. Dicha investigación muestra claramente que es necesario enfocarse en construir buenas reglas de comportamiento, para después comunicarlo de manera asertiva a los empleados y entonces sí buscar asegurar que dichas reglas se cumplan.
Sin más, aquí la serie de pasos a seguir:
1.- Extender el concepto de “seguridad” para incluir la seguridad de la información, en especial bajo los estatutos de la Ley Federal de Protección de Datos en Posesión de los Particulares (LFPDPP), los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) y la GDPR (General Data Protection Regulation, en vigor para clientes y/o proveedores de Europa), con lo cual se asegura el cumplimiento con las legislaciones vigentes al respecto y así evitar multas y penalizaciones. También es importante establecer procedimientos para tratar información sensible, como pueden ser datos de facturación, tarifas, márgenes de utilidad, recetas secretas, sistemas de producción, patentes, clientes, proveedores, acuerdos en niveles de servicio, etc.
2.- Jerarquizar la información por roles, ya que no es el mismo el entrenamientos ni las prácticas a seguir por parte del personal técnico que aquel dirigido a los usuarios finales.
Los primeros (técnicos) deben contar con formación en:
· Seguridad de los sistemas operativos y aplicaciones (políticas de seguridad, aplicación de parches informáticos, gestión de vulnerabilidades, etc.)
· Gestión y administración de elementos de seguridad perimetral (cortafuegos, antivirus, IDS, etc.)
· Copias de seguridad y otros mecanismos de contingencia y protección (como respaldos recurrentes, tecnología de soporte en caso de que falle la principal, etc.)
· Plan de gestión de incidentes de seguridad y planes de acción para su posterior remediación
· Mecanismos de autenticación, como pueden ser herramientas de cifrado o gestión de contraseñas con ciclos de actualización forzosos y determinación de niveles mínimos de seguridad (tantos caracteres, de tal tipo, no usar fechas de nacimiento ni nombres propios, etc.)
· Políticas de seguridad sobre los drivers o unidades extraíbles
· Constante actualización de todas estas normas, reglas y prácticas, debido al acelerado avance de las TICs (Tecnologías de la Información y la Comunicación)
Por su parte, el usuario final –que suele ser el eslabón más débil de la cadena– debe tener en cuenta lo siguiente:
· Aprender a estar alerta para detectar y evitar intentos de ingeniería social para no divulgar información sensible
· Proteger adecuadamente su puesto de trabajo y equipo de acceso a la información (avisar en caso de mensaje sobre actualización de algún componente, siempre bloquear su equipo de computo, seguir el proceso de introducción y remoción de USBs u otros drivers, etc.)
· Aplicar prácticas de control físico (siempre usar su tarjeta de acceso para registrar sus entradas y salidas, acompañar en todo momento a visitantes temporales, clientes y proveedores, etc.)
· Tratamiento adecuado de tecnología personal móvil (laptops, tablets, smartphones, etc.)
· Ser consciente de los peligros de acceder a sitios web y aplicaciones de terceros, descarga de programas y contenidos, uso de correo electrónico personal para información del trabajo y en general cualquier acción fuera de los parámetros que indique el área de Informática y Seguridad de la Información o Cumplimiento Normativo.
En este caso, también el ejercicio de concienciación debe ser permanente, ya que es necesario recalcar la importancia de estas prácticas, insistimos, siempre dependiendo el nivel de responsabilidad de cada rol, lo que nos lleva a…
3.- Supervisar el cumplimiento de las normas vigentes. Es necesario actuar aquí como un auditor externo que “toma por sorpresa” a los evaluados, para conocer el verdadero nivel de compromiso con el apego a las normativas de seguridad de la información. Un examen sobre el conocimiento puede ser aprobado por todos, las pruebas de su aplicación, suelen presentar altos índices de reprobación por gran parte del personal.
4.- Implementar algún método de coacción para quienes fallen en el cumplimiento de las normas. Lo dicho anteriormente y durante todo el presente: no se puede menospreciar la importancia de seguir las prácticas de seguridad de la información, ya que estas pueden representar fuertes pérdidas financieras para la organización, ya sea debido a las multas impuestas por organismos, o por tener que asumir la reparación de las consecuencias que una fuga de información puede representar. De nuevo, en esto hay niveles y los roles de mayor responsabilidad deben tener menor margen de error.
Quitar accesos a herramientas que manejan información sensible que facilita el trabajo, mandar a cursos completos de seguridad de la información o hacer que se repasen e incluso que los involucrados sean los siguientes responsables de impartir los cursos de concienciación son buenos métodos para asegurar que se cumplan las medidas de seguridad de la información que redundan en beneficios para la organización, que aunque no son tangibles son necesarios en un ambiente de crecientes ataques cibernéticos y lucro con datos de terceros.
Si desea ahondar en este y otros muchos riesgos a los que su organización pueda estar expuesta, no dude en hacer clic y descargar nuestra guía que le mostramos más abajo, para llevar la seguridad de la información en su organización al más alto nivel posible de la mano de los expertos, ¡es totalmente gratis!
.svg){kind=small}
.svg){kind=small}
.svg){kind=small}
