5 pilares de una cultura de seguridad bien desarrollada


Una cultura de seguridad definida está ayudando a la industria financiera, aunque los fundamentos deberían aplicarse a cualquier negocio.

security.jpg

Imagen: Getty Images / iStockphoto

Recuerdo haber visto cómo se construía un banco. Una vez que los cimientos de hormigón y la planta baja estuvieron en su lugar, los trabajadores comenzaron a construir una enorme caja de hormigón y acero justo en el medio del piso del edificio. Finalmente me di cuenta: esa era la bóveda. Parecía impenetrable.

Las instituciones financieras son hipervigilantes cuando se trata de seguridad. Desde que el dinero y cualquier cosa de valor tenían que protegerse físicamente, los bancos lo tenían prácticamente resuelto.

Sin embargo, los ladrones de bancos cibernéticos encontraron nuevas formas de colarse a través de Internet y mover dinero a cuentas fuera de la jurisdicción del país donde reside la organización financiera víctima. A pesar de que los expertos en ciberseguridad hacen todo lo posible para cerrar todas esas vías, los ciberdelincuentes son un grupo astuto y es difícil evitar que descubran alguna forma de ejercer su oficio, y lamentablemente, lo hicieron, ahora somos el eslabón débil. Como prueba, Informe de investigaciones de filtración de datos 2020 de Verizon ha identificado errores diversos (errores humanos) y ataques a aplicaciones web como las dos principales causas de infracciones en los sectores financiero y de seguros.

VER: Política de formación y sensibilización sobre seguridad (TechRepublic Premium)

La cultura de la seguridad

Para combatir el eslabón débil humano, Javvad Malik, defensor de la conciencia de seguridad en KnowBe4, en su comentario de Global Banking & Finance Review La psicología detrás de una cultura de seguridad sólida en el sector financiero, sugiere que los líderes empresariales prueben una nueva estrategia: desarrollar una cultura de seguridad dentro de su organización.

"Para muchos líderes de todo el mundo, es cada vez más importante darse cuenta de una cultura de seguridad sólida, no solo por temor a una violación, sino fundamental para el éxito general de sus organizaciones", escribe Malik. "Sin embargo, el término carece de una definición universal y su interpretación varía según el individuo".

Malik agrega: "Esto habla de la importancia de construir una definición única, clara y común de la cual las organizaciones puedan aprender unas de otras, comparar su posición y construir un programa de seguridad integral".

Cómo desarrollar una cultura de seguridad

En cuanto a en qué consiste una cultura de seguridad bien desarrollada, Malik sugiere que se necesitan los siguientes bloques de construcción:

  • Conformidad: Políticas de seguridad escritas y la medida en que los empleados deben cumplirlas.
  • Actitud: Las personas deben desarrollar una mentalidad (opiniones aprendidas que reflejen los protocolos de seguridad de la organización) sobre qué hacer o decir.
  • Comportamiento: Cuando llegue el momento, los empleados deben actuar o tomar decisiones basadas en sus opiniones aprendidas.
  • Cognición: La actitud y el comportamiento no tienen sentido a menos que se comprenda, se conozca y se tome conciencia de las amenazas y los problemas de seguridad.
  • Comunicación: La actividad del ciberdelincuente no es estática, debe haber una metodología para compartir información relacionada con la seguridad de manera oportuna.

Malik advierte: "Todas estas dimensiones están inextricablemente interconectadas; si una flaqueara, también lo harían las demás".

Lo que las instituciones financieras hacen bien en términos de seguridad

De acuerdo a Informe de cultura de seguridad 2020 de KnowBe4, los sectores bancario y financiero se encuentran entre los que mejor se desempeñan al incorporar una cultura de seguridad. Lo interesante es cómo Malik se centró en la importancia de tener canales de comunicación bien aceitados.

"Dado que las amenazas cibernéticas evolucionan rápida y constantemente, se deben implementar procesos de comunicación eficaces", explica Malik. "Esto permite a los empleados recibir información precisa y relevante con facilidad, lo que tiene un impacto en la capacidad de la organización para prevenir y responder a una brecha de seguridad".

Luego ofrece un ejemplo: "En Estudio de IBM sobre el costo de una violación de datos en 2020, el tiempo de respuesta promedio informado para detectar una violación de datos es de 207 días con 73 días adicionales para resolver la situación. Esto es en comparación con los 177 y 56 días de la industria financiera ".

Mejores comunicaciones significan mejores actitudes

Un beneficio de tener buenas comunicaciones es que los empleados tienen una mejor actitud. "La buena comunicación es fundamental para facilitar la colaboración entre departamentos y ofrecer un recordatorio de que la seguridad no se logra únicamente dentro del departamento de TI, sino que es un esfuerzo de equipo", agrega Malik. "También es un medio para levantar la moral e inspirar un mayor compromiso de los empleados".

Falta cognición

Incluso en la industria bancaria, la capacidad de identificar una amenaza a la seguridad a medida que ocurre debe mejorar, según Malik. Agrega: "Al basarse en la cognición, las instituciones financieras pueden instigar un sentido de responsabilidad entre los empleados a medida que comienzan a reconocer el impacto que su comportamiento podría tener en la empresa".

Pensamientos finales

Conseguir un consenso sobre cualquier tema es difícil, y mucho menos en algo tan complejo como una cultura de seguridad que lo abarque todo. Sin embargo, como la mayoría de las cosas que son efectivas, existe un costo y es probable que el costo sea menor que las consecuencias de sufrir una violación de datos.

Malik concluye: "Si bien las instituciones financieras están liderando el camino para otras industrias, aún queda mucho por hacer. Afortunadamente, cada paso cuenta: cada mejora realizada en una dimensión tiene un efecto dominó en las demás".

Ver también



Enlace a la noticia original