La ciberseguridad es la práctica de defender las computadoras, los servidores, los dispositivos móviles, los sistemas electrónicos, las redes y los datos de ataques maliciosos, tal y como explica desde Kaspersky. Una definición que, a priori, nos hace pensar en programas de seguridad, pero no invita a pensar en el cortafuegos más importante: los empleados.

Un reciente estudio de la consultora PwC señala que, actualmente, alrededor del 95% de los ciberataques que sufren las empresas tienen su origen en el factor humano. Y es que los trabajadores son, sin duda, el eslabón más importante de la cadena de ciberseguridad en toda empresa. “La mayoría de las violaciones de datos dentro de las organizaciones son el resultado de acciones de los empleados, bien por desconocimiento o bien por falta de cultura”, señalan los expertos del informe.

Muchas empresas construyen una estrategia técnica a través de una red privada virtual (VPN) y controles de seguridad efectivos, configuración de acceso y/o privilegios a nivel de usuario o el monitoreo, entre otras acciones, las cuales complementan con campañas de concienciación esporádicas. De hecho, el 60% de las compañías han incrementado el presupuesto en formación y concienciación en los últimos años. Pero estas acciones puntuales, tal y como señalan desde PwC, no ofrecen, per se, protección contra ciberataques.

“Una cultura de ciberseguridad ayuda a entender que las recomendaciones de seguridad de información son una parte integral del trabajo, los hábitos y la conducta de los empleados. Adoptar enfoque correcto de seguridad hace que la cultura se desarrolle naturalmente a partir de los comportamientos y actitudes de los empleados”, indican las mismas fuentes. Es decir, la clave está en crear una cultura situando a los empleados en el eje central de las estrategias de seguridad para integrar una manera de actuar y con ello, reforzar el principal cortafuegos del 95% de los ciberataques.

Por lo tanto, la forma de evitar la mayoría de los ciberataques es con una cibercultura empresarial sólida, integral y funcional. “Una cultura implementada de forma adecuada da forma al pensamiento de seguridad de toda persona (incluido el equipo de seguridad), mejorando la resiliencia contra todas las amenazas cibernéticas, especialmente cuando tienen su origen a través de la ingeniería social”.

De hecho, en dicho estudio, cuya muestra ha sido de 50 empresas de diferentes sectores, geografías, tamaños e ingresos, van más allá. La consultora destaca la importancia de incluir a los familiares de los empleados en las campañas de concienciación. Así, estas tendrían un efecto positivo incluso en la seguridad de ámbito más personal.

¿Cómo empezar a construir una cibercultura de empresa?

Para construir los cimientos de esta cultura de empresa, tiene que haber un responsable de la ciberseguridad que será el encargado de definir cómo hacer las cosas y establecer, de forma clara, los criterios, procedimientos y protocolos de actuación que deberán seguir todos los miembros de la compañía, tal y como señalan desde INCIBE. Una figura ligada a la formación y concienciación que para el 55% de las compañías encuestadas por PwC cree que es necesario. Además, esta figura velaría por la creación, adaptación e integración de las políticas necesarias que permitiesen un uso seguro y responsable de la tecnología.

De esta forma, se canalizarían diversas acciones internas como la formación de los empleados en ciberseguridad, se crearía y ejecutaría un plan de concienciación, se realizarían mapas de empatía, a fin de conocer las motivaciones de los empleados que llevan al cambio y finalmente, se establecerían Planes de Cultura de Seguridad gestionados, midiendo todos los ámbitos de la cultura y mejorando en las áreas de conocimiento, comportamiento y estrategia. Crear, a fin de cuentas, una forma de vida.