Contrariamente a la creencia popular, el objetivo principal de la ciberseguridad no es proteger las computadoras, servidores, redes o cuentas de una organización. De hecho, en realidad no tiene nada que ver con la tecnología.

En esta publicación de blog, exploramos por qué la seguridad cibernética se trata más de personas que de tecnología y qué pueden hacer las organizaciones para volver a enfocar el elemento humano tan importante.

Por qué la ciberseguridad no se puede resolver solo con tecnología

En esencia, la ciberseguridad se trata simplemente de proteger a una organización, y a las personas que trabajan allí, de la disrupción tecnológica para que pueda continuar brindando bienes y servicios, obtener ganancias y evitar pérdidas financieras. En otras palabras, el cibercrimen se dirige a personas y empresas, y resulta que la tecnología es el medio a través del cual se producen los ciberataques. La ciberseguridad, entonces, se trata más de proteger a las personas y menos de proteger la tecnología.

Sin embargo, muchas organizaciones aún adoptan un enfoque demasiado tecnocrático de la ciberseguridad, confiando en las últimas y mejores soluciones impulsadas por la tecnología para resolver lo que, en última instancia, es un problema muy humano. Porque, si bien, sin duda, la tecnología juega un papel clave en la mitigación de las ciberamenazas, una buena ciberseguridad es más que una proeza técnica: es una proeza de las personas.

Cómo volver a enfocar el elemento humano de la ciberseguridad

Las organizaciones que no tienen en cuenta el elemento humano de la ciberseguridad corren el riesgo de perder de vista el panorama general y pueden volverse demasiado dependientes de las soluciones tecnológicas, que siguen siendo herramientas esenciales, pero imperfectas, para combatir las ciberamenazas.

A continuación se presentan cuatro consejos para hacer que la ciberseguridad sea más una responsabilidad compartida en su organización:

1. Fomentar una cultura de gestión de riesgos

En cualquier organización dada, la mayoría de las personas están allí para alcanzar sus KPI y cumplir con los plazos. Por lo general, no ven la ciberseguridad como parte de sus responsabilidades o funciones laborales principales. En muchos casos, el personal ve la ciberseguridad como un obstáculo adicional que les impide hacer su trabajo, y si pueden encontrar una manera de trabajar de manera más eficiente eludiendo los procesos de seguridad, lo harán.

Las directivas no motivan a las personas. Y la tecnología por sí sola no puede resolver el problema de la ciberseguridad. Las organizaciones, por lo tanto, deben trabajar en la construcción de una cultura de gestión de riesgos que impregne todos los niveles del personal, desde el empleado más joven hasta el líder más senior. El objetivo aquí es que todos los miembros de la organización se involucren emocionalmente en la mitigación de las ciberamenazas y vean la ciberseguridad como una causa compartida de la que todos son responsables.

Esto puede requerir un cambio fundamental en la forma en que algunas organizaciones abordan la seguridad.

Si bien la seguridad cibernética se ha dejado tradicionalmente en manos del departamento de TI, es posible que las organizaciones deban comenzar a apoyarse más en los recursos humanos para obtener la aceptación de otras unidades comerciales.

2. Hacer que la ciberseguridad sea más comprensible

La jerga técnica y las interminables siglas que rodean la ciberseguridad pueden intimidar a los no iniciados. El personal técnico tiene un papel importante que desempeñar para traducir la jerga tecnológica y garantizar que otros miembros del equipo entiendan las implicaciones de un riesgo de seguridad dado y los beneficios de una posible solución.

Por ejemplo, simplemente decir que la organización necesita invertir más en EDR o SIEM no es particularmente útil para el personal no técnico. Resaltar el impacto potencial de una respuesta lenta a una amenaza y enmarcarla como un riesgo comercial, no solo un riesgo cibernético, puede conducir a una conversación más constructiva y ayudar a los líderes comerciales a tomar decisiones más informadas.

3. La alta dirección necesita comprender los riesgos

Las decisiones de ciberseguridad deben provenir de la parte superior de una organización, no del departamento de TI. Eso no se debe a que no se pueda confiar en que los equipos de TI hagan un buen trabajo, sino a que las decisiones de ciberseguridad ahora tienen serias implicaciones comerciales y operativas que se extienden mucho más allá de los departamentos técnicos.

Hay que hacer concesiones estratégicas. Debido a que no existe la seguridad absoluta y ninguna organización tiene los recursos para reforzar cada vulnerabilidad, cierto nivel de riesgo es inevitable y será necesario tomar algunas decisiones difíciles. ¿Cuáles son los activos empresariales más importantes? ¿Qué nivel de riesgo es aceptable? ¿Cuánto estamos dispuestos a gastar? ¿Cómo afectarán los procesos de seguridad propuestos al personal de primera línea?

Si bien el personal de TI ciertamente tiene un papel que desempeñar para ayudar a los líderes empresariales, las decisiones estratégicas generales deben provenir de la alta dirección. La ciberseguridad es un tema de gestión empresarial, no solo una preocupación técnica, y son los de arriba los que deberían ser los responsables últimos de encontrar el equilibrio entre seguridad, rentabilidad y productividad.

4. Liderar con empatía

La gente tiene defectos. Para bien o para mal, la seguridad cibernética efectiva depende de las personas, lo que significa que, sí, incluso la organización más cibernética todavía tendrá algunas grietas en su armadura.

Las organizaciones deben reconocer estas limitaciones y estar preparadas para escuchar y aprender tanto del personal técnico como de aquellos en primera línea que utilizan los sistemas día tras día. Anime a las personas en todos los niveles de la organización a hacer preguntas y ser sinceros sobre los errores, y use esos conocimientos para informar futuras decisiones de seguridad.

Conclusión

La tecnología proporciona a los humanos una red de seguridad. Informar a los usuarios no les impide hacer clic en los enlaces. No importa qué tan bien entrenado esté el usuario, en algún momento tendrá un desliz y cometerá un error. Además, algunos usuarios actúan de manera maliciosa e intencionalmente buscarán dañar a la organización en la que trabajan. La ciberseguridad ayuda a proteger a las empresas contra estas debilidades inherentemente humanas.

Al mismo tiempo, toda la tecnología del mundo no detendrá los ataques cibernéticos si no cuenta con la aceptación de sus usuarios. La tecnología, por supuesto, juega un papel fundamental en la estrategia de ciberseguridad, pero no es una estrategia en sí misma. La línea entre el riesgo cibernético y el riesgo comercial se está volviendo cada vez más borrosa y las organizaciones deben comenzar a reconocer que la ciberseguridad tiene más que ver con las personas que con la tecnología.

Aquí en Emsisoft, reconocemos el importante papel que juegan los humanos en la ciberseguridad efectiva. Desde la interfaz de usuario intuitiva de nuestro software hasta nuestra tecnología de protección contra phishing y el sistema de autenticación de múltiples factores contra la manipulación, las soluciones de Emsisoft están diseñadas desde cero teniendo en cuenta el factor humano. Para ver el software en acción, descargue su versión de prueba gratuita hoy.