Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Gestión de Riesgos de Ciberseguridad > Midiendo una Cultura de Conciencia Cibernética
Measuring a Cyber Awareness Culture

Midiendo una Cultura de Conciencia Cibernética

by Andreas Wuchner updated noviembre 20, 2024 Gestión de Riesgos de Ciberseguridad
Reading Time: 7 minutes

Hasta hace poco, muchas métricas de concienciación cibernética se han tratado como un ejercicio de cumplimiento impulsado por regulaciones. El regulador requiere x número de horas de capacitación en concienciación cibernética por empleado al año, y una vez hecho esto, la organización marca una casilla y espera hasta el próximo año. Los reguladores requieren simulaciones de phishing, así que ejecutas una campaña, ves quién hace clic y quién no, y ahí tienes tu resultado. Listo.

¿Debería ser más importante? Absolutamente. Si observas los ciberataques exitosos de los últimos años, alrededor del 90% se pueden atribuir a errores humanos. Incluso si fuera solo el 50%, sigue siendo muy alto. Tienes todas estas herramientas de ciberseguridad preventivas en su lugar, pero no detienen todo. Por eso sigue siendo esencial empoderar a las personas para reducir este número. ¡Gestionar el riesgo cibernético humano es una necesidad!

Las organizaciones más modernas están buscando mejorar.

El éxito se reduce a cuánto realmente les importa la ciberseguridad a las organizaciones. Las organizaciones suelen creer que el usuario es la mayor fuente de sus problemas de seguridad. No muchas han pensado en transformar al humano detrás de la computadora en la punta de lanza más fuerte de su estrategia defensiva. En lugar de ver a los empleados como pasivos, conviértelos en activos.

“Necesitas educar a todos sobre ciberseguridad, pero debes hacer que sea relevante para ellos.”

Los reguladores y auditores están preguntando con más frecuencia sobre los programas de concienciación y cultura de ciberseguridad de las organizaciones. Cuanto antes comiencen estas organizaciones a empoderar a sus empleados, antes mejorarán su postura de ciberseguridad.

Construyendo una Cultura de Seguridad Saludable

Las organizaciones pueden construir una cultura de seguridad saludable estableciendo políticas y procedimientos que enfatizan la importancia de la seguridad, proporcionando capacitación y educación sobre protocolos de seguridad, y fomentando comportamientos orientados a la seguridad.

Al crear un entorno abierto para que los miembros del equipo hagan preguntas sobre seguridad y fomentar las mejores prácticas entre el personal, las organizaciones pueden crear una atmósfera de concienciación sobre seguridad que se inculca en sus empleados.

Además, las organizaciones pueden recompensar a los empleados que toman decisiones inteligentes de seguridad, como reportar actividades sospechosas o tomar precauciones adicionales para proteger datos sensibles, para reforzar una cultura de seguridad positiva.

La organización también debe fomentar un entorno de equipo en el que los empleados puedan llamar la atención de los líderes sobre problemas de seguridad sin temor a represalias.

¿Cuáles son los Desafíos?

Los desafíos se pueden resumir en dos categorías: tecnología y personas.

Uno de los problemas al medir la cultura de concienciación cibernética es que los datos provenientes de herramientas como el número de clics en phishing miden solo clics, no la cultura en sí. En última instancia, la herramienta solo sabe lo que sabe; no te da datos en contexto. En segundo lugar, ¿qué tan confiables son los datos? ¿Está la herramienta/control implementado correctamente? ¿Cubre también los teléfonos móviles? ¿Está optimizada la cobertura? ¿Son los datos precisos y oportunos? A menos que tengas datos consistentes y confiables, no puedes sacar conclusiones significativas.

En el lado de las personas, es realmente difícil construir una cultura consciente de la ciberseguridad.

Comprar una nueva herramienta de seguridad es mucho más fácil que hacer que todos en tu organización se preocupen profundamente por la ciberseguridad. Muchas personas solo ven una herramienta de seguridad como una molestia que se interpone en el camino de hacer su trabajo. Necesitas educar a todos sobre ciberseguridad, pero debes hacer que sea relevante para ellos.

Hazles conscientes de que la ciberseguridad es un problema de toda la vida. Si puedes hacer que esta sea la mentalidad predominante, habrás ganado la mitad de la batalla. A la gente le importa más cuando ve, y realmente entiende, cómo algo abstracto como la ciberseguridad puede impactar sus vidas o las de sus familias.

¿Cómo Superar Estos Desafíos?

Muchos programas exitosos de cultura de concienciación cibernética cuentan con campeones cibernéticos: personas en la organización que realmente se preocupan por la seguridad y están dispuestas a dedicar su tiempo a mejorar el conocimiento básico de seguridad. Se convierten en defensores que hablan sobre seguridad, revisan a sus compañeros y realmente impulsan una cultura de ciberseguridad. Este elemento humano es mucho más efectivo que los dictados de una junta sin rostro.

Otra solución es gamificar la concienciación cibernética. Puedes divertirte con un Muro de la Vergüenza para el equipo con las peores tasas de clics, o más seriamente, usar un Muro de la Fama para celebrar a los equipos que son sobresalientes en su concienciación cibernética. Reconoce y celebra a esas personas o equipos que practican una buena higiene cibernética. Estas son las personas que son activos de seguridad en lugar de pasivos.

El Poder de la Capacitación en Concienciación Cibernética—Un Componente Crítico de la Ciberseguridad

La capacitación en concienciación cibernética es un componente crítico de la ciberseguridad porque proporciona a los empleados el conocimiento y las herramientas que necesitan para mantenerse seguros en línea. Les ayuda a entender los riesgos asociados con el uso de internet y redes sociales, mientras también les enseña los conceptos básicos de la informática segura, como la protección de contraseñas y el cifrado de datos. La capacitación en concienciación cibernética también ayuda a familiarizar a los empleados con las muchas amenazas cibernéticas que existen y cómo reconocerlas y responder a ellas. Este conocimiento puede ser invaluable para prevenir violaciones de datos, robo de identidad y otros ciberataques, ayudando a las organizaciones a proteger sus datos y reputación.

¿Cómo Medir la Cultura de Concienciación Cibernética?

Puede ser muy difícil medir la cultura de concienciación cibernética dentro de una organización. Es un hecho que las organizaciones medirán cosas básicas como si las personas han completado la capacitación de incorporación cibernética, o con qué frecuencia las personas hacen clic en campañas de phishing simuladas.

La medición a menudo está impulsada por requisitos regulatorios o marcos. De hecho, el Marco de Controles de Seguridad (SCF) tiene once controles en torno a la concienciación y capacitación en seguridad, y NIST los agrupa en la función de “proteger”. Sin embargo, es notable que no todas las regulaciones requieren un elemento de concienciación en seguridad, como ISO 27001 y COBIT. Esto es quizás un remanente de cuando la concienciación cibernética se pensaba como un aspecto “secundario” de la seguridad.

“Hoy, preguntan ‘¿tienes un programa de capacitación?’ Eventualmente, preguntarán ‘¿es efectivo tu programa?’ Esta es una pregunta muy diferente y no tan fácil de responder.”

Puedes medir estos controles relativamente fácil, y así demostrar al regulador que tu organización cumple, pero esto no te proporciona ninguna visión significativa de la cultura de concienciación cibernética de tu organización. Como resultado, esta actitud de marcar casillas no te ayudará a reducir el riesgo cibernético humano en la organización.

En el futuro, el auditor o regulador cambiará su línea de preguntas. Hoy, preguntan “¿tienes un programa de capacitación”? Sí. “¿Todos lo han hecho”? Sí. Eventualmente, preguntarán “¿es efectivo tu programa”? Esta es una pregunta muy diferente y no tan fácil de responder.

Supongamos que te doy una prueba con diez preguntas sobre concienciación cibernética. ¿Qué hace que una contraseña sea fuerte? ¿Cómo detectas un phishing? Cosas así. Al final, veo que acertaste seis de diez preguntas. Seis es el umbral, así que pasas. Pero no sé si realmente sabes estas cosas. ¿Estabas adivinando? ¿Hiciste que tu asistente o algún adolescente experto en tecnología que conociste en un café hiciera la prueba?

En una organización moderna que mide la cultura de concienciación cibernética, te hacen las mismas preguntas, pero te miden en cuánto tiempo tardas en responder. También te preguntan “¿qué tan seguro estás de tus respuestas”? Esta información revela mucho más sobre ti como usuario y el programa de ciberseguridad de tu organización.

También puedes aprender mucho más sobre la cultura de seguridad de esta manera. Un usuario demasiado confiado que se desempeña bien en pruebas tradicionales de ciberseguridad puede ser más cuidadoso en el futuro. Ahora puede pasar el cursor sobre un correo electrónico para ver si es de hecho un correo urgente del CEO o un phishing de una cuenta de Gmail deshonesta en Corea del Norte. Esto es indicativo de una mala cultura de concienciación cibernética.

Una organización con una buena cultura de concienciación cibernética tiene empleados como estos. Estos empleados son activos. Han participado en la capacitación, entienden la seguridad digital personal y pueden responder con confianza todas las preguntas rápidamente y correctamente.

Otro buen ejemplo de cómo medir la cultura de concienciación cibernética es el uso de pantallas de bloqueo automático. Muchas empresas tienen una política de que cuando dejas una computadora, debes bloquearla manualmente. Y si no lo haces, se bloqueará automáticamente después de x minutos según un control de grupo.

“Una herramienta solo ve números, por lo que si te basas únicamente en esa herramienta para tus métricas, estás obteniendo una visión estrecha que carece de contexto importante.”

En un entorno de oficina, una pantalla desbloqueada puede ser más difícil de encontrar ya que generalmente hay personas conscientes de la ciberseguridad alrededor que podrían llamar la atención de alguien por esta infracción. Pero muchas más personas ahora están en un escenario de oficina en casa, donde puede haber cónyuges, compañeros de casa o niños alrededor viendo o usando tu dispositivo sin la capacitación o permisos adecuados. ¿Quién sabe qué podrían ver o en qué podrían hacer clic?

Al rastrear bloqueos manuales vs. automáticos como una métrica, puedes obtener cierta comprensión de la cultura de concienciación cibernética. Puedes ver que las personas han leído las pautas y han hecho la capacitación, por lo que saben que la política dicta que deben bloquear manualmente su pantalla cuando está desatendida.

Por el contrario, si los empleados simplemente dejan sus pantallas desbloqueadas cuando salen a almorzar, y se bloquea automáticamente, dice tanto sobre la cultura de concienciación cibernética de la organización. En este caso, la cultura no es tan buena como podría ser y/o hay un problema con la capacitación. En cualquier entorno, la política necesita ser significativa—no debería ser solo “haz esto”; debería tratarse de mostrar a las personas por qué estas cosas son importantes.

Cómo Medir el Éxito de tu Programa de Concienciación en Seguridad

Una organización puede medir el éxito de su programa de concienciación en seguridad realizando evaluaciones periódicas para evaluar la comprensión de los empleados sobre los protocolos de seguridad. Estas evaluaciones pueden tomar la forma de encuestas, cuestionarios o ejercicios interactivos que se adapten a las necesidades específicas de la organización.

Los resultados de estas evaluaciones se pueden comparar con resultados anteriores para determinar si ha habido una mejora en la postura general de seguridad de la organización. Además, se pueden rastrear incidentes de seguridad para determinar si los empleados están siguiendo sus protocolos de seguridad. Un aumento en el número de incidentes de seguridad puede sugerir que la comprensión de los empleados sobre los protocolos de seguridad es deficiente y que se requiere más capacitación.

La retroalimentación de los clientes también se puede tener en cuenta en la evaluación, ya que los clientes pueden proporcionar información valiosa sobre cuán seguros están sus datos. Toda esta información puede proporcionar una visión integral de cuán exitoso es el programa de concienciación en seguridad de la organización.

¿Qué Aporta el Monitoreo del Riesgo Cibernético Humano a la Cultura de Concienciación Cibernética?

La concienciación sobre el riesgo humano en ciberseguridad es solo un elemento para entender tu postura general de seguridad y riesgo.

La razón por la que el monitoreo del riesgo cibernético humano es tan valioso para la medición de seguridad es que combina datos de múltiples fuentes dispares que normalmente no interactuarían. Una herramienta solo ve números, por lo que si te basas únicamente en esa herramienta para tus métricas, estás obteniendo una visión estrecha que carece de contexto importante.

Por ejemplo, una herramienta puede no saber si hay nuevos ingresos o salidas en la organización. Combinar datos de la herramienta de concienciación y una herramienta de recursos humanos proporciona, por lo tanto, una capa adicional de contexto. De manera similar, puedes combinar datos de concienciación, con datos de bloqueo automático y datos de acceso privilegiado.

Entonces puedes ver si las personas que tienen acceso a aplicaciones críticas de negocio también dejan su pantalla desatendida antes de que se bloquee automáticamente. Estos datos proporcionan mucha más información sobre tu cultura de concienciación cibernética que si alguien aprobó una capacitación anual de seguridad.

“Al combinar datos de diferentes maneras, puedes comenzar a hacer preguntas realmente interesantes sobre la cultura de concienciación cibernética.”

Si tienes muchas personas con acceso a información

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

始めましょう。

Kiteworksを使用すれば、規制コンプライアンスを確保し、リスクを効果的に管理することが簡単に始められます。今日、コンテンツ通信プラットフォームに自信を持つ数千の組織に参加しましょう。以下のオプションから選択してください。

デモを予約
担当者に相談

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks