Como lo hemos venido diciendo en distintas instancias en los últimos años, la seguridad de la información y la ciberseguridad se nos presenta como un fenómeno altamente complejo. Grandes organizaciones a nivel mundial invierten presupuestos millonarios y exponenciales en comparación con Latinoamérica, pero igualmente son vulneradas y/o hackeadas. Por lo tanto, la pregunta que nos aparece tiene que ver sobre cómo estamos ejecutando los instrumentos y prácticas en estas materias.
Componentes claves para entender la Ciberseguirdad
Al parecer, algo no estamos haciendo tan bien o no estamos viendo una parte de la problemática de una manera tan clara. Cabe considerar, que cada responsable de la ciberseguridad en una organización construye el ambiente de control en función de las coherencias que se generan a partir de la información que tiene disponible, en la práctica, partimos de la base que nadie quiere hacer las cosas mal, nadie quiere ser poco profesional en estas materias, por lo cual, al parecer los instrumentos o prácticas que estamos utilizando no están abordando componentes claves para comenzar a entender y ampliar la visualización sobre esta realidad.
Procesos culturales en la búsqueda de una solución
Al día de hoy, nunca se había invertido tanto en ciberseguridad y por otro lado, nunca se había presentado un escenario tan asimétrico en materia de amenazas y vulnerabilidades. En un escenario marcado por brechas y vulnerabilidades en expansión que utilizan como vector de ataque el factor humano, al parecer se hace necesario girar la mirada hacia los procesos de construcción de la seguridad de la información y ciberseguridad, en específico, los procesos ligados al cambio CULTURAL en estas materias. Partamos de la base que no es un tema sencillo, dado que implica que incorporemos pensamiento sistémico complejo a la hora de hallar una solución coherente a nuestros problemas actuales de ciberseguridad.
La cultura es una receta que se cocina a fuego lento, por lo tanto, en esta lógica hay que entender que no existirán organizaciones resilientes sin personas resilientes y por otro lado, no existirán naciones resilientes sin organizaciones resilientes.
Awareness en Seguridad de la Información
El mercado de la seguridad de la información y la ciberseguridad ha abordado ésta temática desde la perspectiva del Awareness, pero ¿qué es el Awareness en seguridad de la información?, ¿qué entendemos por Awareness?.
Si bien no existe una traducción literal hacia el español o una traducción que explique lo que realmente quiere decir este concepto, nosotros lo entendemos como una ampliación de conciencia, y acá no queremos ser en lo más mínimo esotéricos (con todo el respeto que merecen los pensamientos esotéricos), nos referimos a algo tan concreto como ampliar la visibilidad con el fin de tener una mayor claridad sobre los riesgos e impactos.
Por lo tanto, podríamos estar hablando que el Awareness es una toma de conciencia con el fin de tener una mayor claridad sobre los impactos de nuestros haceres en el ámbito de nuestra seguridad y la seguridad de la organización. Si llevamos esto a las iniciativas que generalmente acompañan las prácticas de sensibilización en estas materias, generalmente abordamos estas tareas de concientización desde la perspectiva de la entrega de un contenido, o la entrega de un concepto o una serie de conceptos relacionado con seguridad de la información y ciberseguridad. Incorporando temáticas como gestión de contraseñas, buenas prácticas de seguridad hacia los recursos tecnológicos y un recorrido por una serie de amenazas ligadas a prácticas de ingeniería social.
- Gestión de contraseñas
- Buenas prácticas de seguridad
- Amenazas ligadas a prácticas de ingeniería social
Efectividad de las campañas informativas
Las campañas informativas entregan un idioma común – idioma común sobre los riesgos – pero muchas veces estas instancias carecen de la fuerza para poder transformar efectivamente a las personas. Sobre la efectividad de las campañas informativas podemos decir que tienen un bajo impacto, ejemplo de esto son las campañas informativas para disminuir los accidentes de tránsito vehicular, inclusive en períodos críticos como lo son los días anteriores a las fiestas de un país o las campañas informativas para disminuir el consumo del tabaco, en ambos casos la efectividad es menor y supone un profundo cuestionamiento al modo actual para abordar estos procesos, en ciberseguridad no es la excepción.
Por lo tanto, la pregunta que nos surge es qué hacer frente a este escenario altamente asimétrico, ¿qué nos ofrece hoy el mercado para que podamos aumentar nuestros niveles de certeza sobre los esfuerzos que realizamos en estas materias?
3 claves de acción hacia una cultura de la Seguridad de la Información
En este ámbito, podemos distinguir tres focos de acción, para abordar la temática cultural o parte de ella, compuesto o apalancado con diferentes miradas sustentadas en estándares, marcos de referencia, buenas prácticas, metodologías y enfoques científicos.
1. Fortalecimiento en función de estándares y marcos de referencia con foco en el cumplimiento de controles.
En este ámbito hay una serie de instrumentos que describen o identifican ciertos controles tendientes a hablar este idioma común en la organización, ejemplo de esto son los marcos ISO/IEC27.001-02, Nist for Cybersecurity, los 20 controles críticos del CIS, Cobit2019, SFC, entre otros. En general los controles incorporados en estos marcos de referencia tienden a garantizar un mayor nivel de conocimiento de los usuarios sobre estos riesgos incorporando prácticas informativas y entrenamientos en específico con el fin de aumentar los niveles de detección de amenazas en estas materias, como lo constituyen las pruebas controladas de phishing con distintos niveles de complejidad u otros mecanismos de pruebas de ingeniería social. Generalmente estás prácticas se pueden poner en acción al corto y mediano plazo.
2. Fortalecimiento en función de metodologías en específico para este ámbito.
En general estos marcos metodológicos permiten ajustar el ámbito de acción de las campañas de sensibilización, permitiendo atender de una manera más granular a los usuarios críticos de la organización o usuarios de alto valor, se relacionan con activos relevantes para el negocio o la institución. Si nos vamos directamente a las prácticas a utilizar para llevar a cabo las campañas de sensibilización, estas no tienen mayores diferencias con las iniciativas señaladas en el punto uno (1) de acción. El gran valor de estas metodologías radica en la capacidad para poder determinar el estado actual de la organización en estos ámbitos y, por otro lado, aumentar el grado de visualización sobre el panorama general de los usuarios más críticos y los mecanismos de control actuales.
Entre estas prácticas podemos señalar: el Secure Awareness Maturity Model del SANS Institute creado por Lance Spitzner o el Infosec Culture Framework descrito en el libro BUILD A SECURITY CULTURE del autor Kain Roer y, por último, señalar el Competing Security Culture Framework señalado en el libro PEOPLE-CENTRIC SECURITY del Doctor Lance Hayden, entre otros. Generalmente, estás prácticas se pueden poner en acción al mediano y largo plazo, dependiendo de las dimensiones de la organización.
3. Fortalecimiento a través de metodologías científicas que aborden el cambio cultural en organizaciones y sociedades.
En este ámbito, necesariamente los que tenemos la responsabilidad de la ciberseguridad de la organización debemos movernos hacia la complejidad, entender que la organización es un sistema o, mejor dicho, un sistema complejo. En este sentido, la aplicación de modelos derivados de la cibernética, la sistémica y la biología al parecer nos están permitiendo comprender de mejor manera como se dan o se darían los cambios en estas materias, impactando a la cultura de la organización y la cultura de una sociedad. Temáticas relacionadas a los sistemas adaptativos complejos, al nuevo paradigma de la cibernética y la ciberseguridad, al manejo de los cisnes negros y la incertidumbre y los mecanismos de transformación cultural de las organizaciones basado en el entendimiento biológico-cultural son parte de estos conocimientos científicos que vienen a apalancar los procesos de construcción de la seguridad de la información y ciberseguridad en nuestras naciones, instituciones y a nivel personal.
Transformar el propósito cultural de una organización
❮No existe cambio cultural sin cambio individual.❯
Hay que entender que la seguridad de la información no es un problema tecnológico, se trata de un problema humano, y como problema humano debemos entender qué es una cultura como base para entender si efectivamente estamos transformando el propósito cultural de una organización en función de la seguridad de la información y ciberseguridad.
No existe ninguna organización, como sistema social, que camine hacia un cambio cultural sin antes que sus colaboradores hayan experimentado el cambio individual. En esta lógica, como lo indica el reconocido científico y premio nacional de ciencias de Chile el Doctor Humberto Maturana y por otro lado, la investigadora Ximena Dávila, no existe cambio cultural sin cambio individual, además, una cultura se puede entender como una red compleja de conversaciones con un propósito común que se concreta en el hacer de cada individuo. Por lo tanto, los cambios culturales se pueden dar, siempre y cuando se tenga en cuenta que son procesos que tienen más que ver con los individuos que con las organizaciones en su conjunto.
Artículo relacionado: ¿Cuáles son los ciberataques más frecuentes en Latam? ¡Aprende más aquí!
Ofrecemos una Mesa de Trabajo gratuita
Ponemos a tu disposición una mesa de trabajo consultiva de 2 horas gratuitas con nuestros especialistas en Cambio Cultural en Ciberseguridad, donde podrás obtener un plan de trabajo adaptado a las necesidades de tu organización.
Ofrecemos un charla gratuita preparada para su organización: “Las personas en el centro de la seguridad de la Información y Ciberseguridad.” Solicítela ahora con nuestro equipo de especialistas.