Veinte años después de desarrollar una arquitectura de seguridad cada vez más madura, las organizaciones se oponen a verdades difíciles. Las herramientas y la tecnología por sí solas no son suficientes para mitigar el riesgo cibernético. A medida que la pila de alta tecnología se volvió más refinada y más capaz, los atacantes cambiaron su enfoque. Ya no se centran únicamente en las vulnerabilidades de infraestructura. En cambio, están explotando cada vez más el comportamiento humano. En la mayoría de las violaciones modernas, el vector de ataque inicial no es una explotación de la tecnología de día cero. Aprovecha las vulnerabilidades de las personas.
Los datos están bien documentados. Durante cinco años, el informe de investigación de violación de datos de Verizon muestra que el riesgo humano es el factor más importante en las violaciones en todo el mundo. La última versión del informe encontró que casi el 60% de todas las violaciones en 2024 estaban relacionadas con el elemento humano. Sin embargo, en ese contexto, es importante abordar los conceptos erróneos comunes. La frase «Las personas son el vínculo más débil» significa que un empleado tiene la culpa cuando ocurre una violación. En la mayoría de los casos, eso no importa. El usuario no ha fallado con la seguridad y el entorno de seguridad está fallando. La seguridad a menudo es innecesaria complicada. El concepto se transmite en un lenguaje profesional confundido y abrumador, mientras que está diseñado para auditores y abogados en lugar del empleado promedio.
En segundo lugar, mitigar efectivamente el riesgo humano no es una cuestión de adopción de tecnología o aplicación de políticas. Es fomentar una fuerte cultura de seguridad organizacional que simplifica y apoye el comportamiento humano seguro. Hasta que la cultura de seguridad sea tratada con la misma priorización e inversión que su tecnología de seguridad, el riesgo humano continúa socavando incluso los programas de tecnología más diseñados.
Definición de cultura de seguridad
Cada organización ya tiene una cultura de seguridad en su lugar. La pregunta clave es si es la cultura de seguridad que realmente desean.
Por definición, la cultura de seguridad es una percepción, creencia y actitud comunes sobre la ciberseguridad en una organización. ¿La gente cree que la seguridad es importante? ¿Se sienten responsables? ¿Se consideran un objetivo? Cuando esa estructura de creencias es fuerte, las acciones continúan. Pero cuando falta, como cuando la seguridad se considera una barrera para el trabajo o la productividad de otras personas, el alcance de su riesgo aumenta exponencialmente.
El problema no es que a las personas no les importe proteger su organización. No está integrado en cómo funciona la seguridad, sino que se superpone en la parte superior como algo que esperarían navegar. Si desea que las personas se comporten de manera segura, debe crear condiciones que respalden esas acciones. Los empleados ajustan sus acciones en función de lo que el entorno recompensa, permite y espera. La seguridad no es una excepción. Para mejorar la cultura de seguridad, el enfoque debe estar en diseñar el entorno diario que da forma a las percepciones y decisiones de las personas.
En realidad, esto significa evaluar las cuatro fuerzas impulsoras de la cultura de seguridad: señales de liderazgo, participación del equipo de seguridad, diseño de políticas y capacitación de seguridad.
Señales de liderazgo: la cultura comienza en la cima. Se enviará un mensaje claro cuando los líderes traten la seguridad como una prioridad al vincularla con presupuestar, bonos o aumentar el CISO en sus gráficos de Org. De lo contrario, no hay cantidad de servicio de labios que cambie esa percepción. Compromiso del equipo de seguridad: no solo los ejecutivos que dan forma a la cultura. La experiencia diaria que la gente tiene en seguridad a menudo depende del equipo de seguridad en sí. ¿El equipo de seguridad es útil u hostil? ¿Están claros o confundidos? ¿Son habilitadores o bloqueadores? Eso es todo importante. Diseño de políticas: las políticas son el punto de interacción constante. Si son demasiado técnicos, difíciles de seguir o llenos de fricción, erosionan la confianza. Si son simples e intuitivos, refuerza la idea de que la seguridad se puede lograr. Capacitación de seguridad: esta es a menudo la parte más visible del programa, pero también la parte más incomprendida. Si la capacitación es aburrida, anticuada o no relacionada, muestra que la seguridad no es realmente importante. Construye la creencia de que cuando se aplica y aplica, promueve el comportamiento.
Estas cuatro áreas también proporcionan un marco para medir la cultura. Pregunte a los empleados qué piensan y sienten sobre el liderazgo, los equipos de seguridad, las políticas y la capacitación. Sus respuestas le dirán si su cultura funciona para usted o está en su contra.
Ajustar las cuatro palancas de la cultura de seguridad
El apoyo ejecutivo puede establecer tonos, pero la cultura de seguridad se define por lo que los empleados encuentran todos los días. Si estas experiencias vivos contradicen el mensaje de liderazgo, las creencias se rompen. La gente puede escuchar que la seguridad es una prioridad, pero si la política es desconocida, pueden sentir que la capacitación se ha desconectado, o que los equipos de seguridad se sienten estrictos e inapropiados, o la confianza se erosiona rápidamente.
Es por eso que la alineación en las cuatro palancas culturales es esencial: liderazgo, participación del equipo de seguridad, política y capacitación. Demuestra importancia estratégica cuando el liderazgo hace que la seguridad sea visible a través de recursos y responsabilidad. Pero ese mensaje debe fortalecerse por cómo los equipos de seguridad interactúan con los empleados. Si los empleados son castigados por errores o cuando se busca el trabajo de piedra para el apoyo, es menos probable que se conviertan en participantes activos en la defensa de la organización.
El diseño de políticas juega un papel igualmente importante. Si la póliza es larga, técnica o poco realista, los empleados incumplen la conveniencia incluso si introducen riesgos. Una guía más simple e intuitiva hace que sea más fácil actuar con firmeza sin ralentizar los resultados comerciales. El mismo principio se aplica a la capacitación. Si está desactualizado o común, se está convirtiendo rápidamente en un ejercicio de caja. Pero cuando es relevante y específico de roles, ayuda a reforzar la seguridad como parte del trabajo.
¿Listo para operar una cultura de seguridad?
Únase a mí este otoño, en el otoño de Sands Orlando Otoño 2025. Aquí le enseñaremos el recientemente actualizado LDR521: Líderes de cultura de seguridad. Este curso proporciona un marco paso a paso para evaluar la cultura actual, identificar las mayores oportunidades de cambio y construir un entorno donde el comportamiento seguro sea estándar. Tome herramientas prácticas, estudios de casos del mundo real y libros de jugadas listos para el liderazgo a su equipo.
Regístrese para el otoño San Orlando en el otoño de 2025.
Nota: Este artículo fue aportado por Lance Spitzner, instructor senior en Sans Institute. Obtenga más información sobre sus antecedentes y experiencia aquí.
Source link
