Comúnmente la seguridad de los activos informáticos es un proyecto que las organizaciones implementan una vez que ha ocurrido un ataque y/o filtraciones de datos. En ese momento se encienden las alarmas y los análisis forenses indican culpables y puntos de falla. Sin embargo la mejor forma de tener un entorno seguro es a través de la cultura de la organización, pues la seguridad debe verse como un elemento constante en el entorno y no como un proyecto con fecha de inicio y fin.
Dan Lorhmann de Government Technology nos da 7 formas para que la ciberseguridad sea parte de la cultura organizacional.
- Apoyo e interés genuino del nivel directivo. El personal de una organización tendrá incentivos para comportamientos seguros en el tema de la seguridad de la información si los directivos no sólo generan un entorno propicio, sino que son los principales promotores y ejemplo de ciberseguridad.
- Una evaluación completa y honesta del estado de la ciberseguridad actual en la organización. Es un lugar común decir que lo que no se mide no se puede mejorar, pero sobre todo, si no se mide de manera certera y con parámetros claros, no habrá forma de saber realmente el estado actual.
- Una visión clara de cómo debe ser el entorno de ciberseguridad. Hay que revisar las prácticas de otras organizaciones públicas y privadas para conocer no sólo qué hacen en el tema de la ciber seguridad, sino también conocer sus objetivos y valores al respecto para generar un estado óptimo al que aspire la organización.
- ¿Tienes un plan digital? Las organizaciones públicas, y también las privadas, deben tener un plan de transformación e innovación que les permita generar una ruta a seguir y con ello se puede definir la necesidad, objetivos y beneficios de las acciones de seguridad de los activos de información.
- Una clara comunicación al personal. Podemos tener todos los elementos de visión, prácticas y objetivos, pero se deben difundir al personal para que sean evidentes para cada una de las personas en la organización la ruta y tareas que se deben seguir.
- Capacitación de ciberseguridad para todos. Esto incluye a los directivos, los expertos en sus áreas y posiciones específicas en la organización que puede parecer que ya han adoptado la ciberseguridad.
- Celebra el éxito. La organización en su conjunto debe ser capaz de reconocer cuándo se ha realizado una labor eficiente y se debe promover el orgullo al respecto.
¿Cuáles son los pasos en esta dirección que ya se han tomado en tu organización?