La ciberseguridad es una de las principales preocupaciones de todas las empresas. Como CISO, liderar la carga para mantener a tu empresa a salvo de hackers y ataques recae directamente sobre tus hombros, pero ciertamente no es un trabajo que puedas hacer solo. La seguridad y las medidas que toma tu empresa para mantenerse lo más segura posible son tareas de toda la organización. Todos los empleados, desde el asistente hasta el gerente y el director general, deben participar en el proceso.

Esto quiere decir que la responsabilidad es de todos, pero para los que no forman parte del equipo de ciberseguridad o seguridad informática, esto puede sonar aterrador, y lo último que se quiere es que alguien tenga demasiado miedo para informar de un problema. La mejor manera de conseguir la participación de cada persona es crear un entorno educativo que haga que todos sean ciber inteligentes.

A continuación, cubriremos las tácticas probadas y comprobadas que puedes implementar rápidamente para mantener la seguridad en la mente de cada empleado, impulsando instantáneamente una de tus líneas de defensa más importantes.

Haz que la seguridad forme parte del proceso de incorporación

Los procedimientos de incorporación de nuevos empleados suelen consistir en visitas a la oficina y reuniones con recursos humanos, ejecutivos de departamento y jefes de equipo. Deberías insistir en que la reunión con un miembro del equipo de seguridad para repasar las políticas de ciberseguridad de la empresa forme parte del proceso de incorporación. Durante esa sesión, se deben discutir los conceptos de seguridad y las tácticas de los hackers, como los correos electrónicos de suplantación de identidad. Repasa los protocolos de creación de contraseñas, cómo activar la protección del firewall en la oficina y en casa, y la importancia de instalar actualizaciones de software y crear archivos de copia de seguridad.

Educar, y luego volver a educar

La educación es un proceso continuo porque el cerebro humano sólo puede absorber cierta cantidad de información a la vez. ¿Sabía que las personas retienen menos del 50% de la información que se les enseña después de una hora? Al cabo de un día, se olvida el 70% de lo tratado en una sesión de formación. El cerebro y la memoria funcionan mejor si se basan en los conocimientos existentes, así que establece sesiones de seguridad más cortas y frecuentes para garantizar que la información se asimile y se aprenda. Tanto si se celebran reuniones cibernéticas cada mes, cada trimestre o cada dos años, es esencial reiterar la información y educar a la gente sobre las nuevas amenazas con regularidad.

Intenta siempre presentar la información de forma atractiva, crear una explicación interactiva o establecer una correlación directa con la forma en que la gente puede aplicar las lecciones a su vida personal, todo lo cual les ayudará a interiorizar la información. Por ejemplo, muestra una foto aparentemente inofensiva de un equipo almorzando, pero incluye una pizarra con información sensible en el fondo. Pregúntales si podría haber un riesgo potencial si compartieran esa imagen en las redes sociales. A continuación, conéctalo con sus vidas. Muchos de ellos probablemente tienen notas por toda su casa con contraseñas y credenciales de acceso que podrían aparecer en el selfie que acaban de publicar en Instagram.

Haz que la denuncia sea una experiencia positiva

No hay nada peor que el miedo de un empleado cuando se da cuenta de que se ha enfrentado a una posible amenaza para la seguridad. Muchos tratarán de ignorar la situación para evitar meterse en problemas. Hay que crear un entorno que provoque la reacción contraria. La gente necesita saber que no será castigada por informar de un problema o error. Establece un proceso sencillo y crea una cultura que fomente la denuncia incluso si el empleado no está seguro de que haya ocurrido algo; el lema de seguridad debe ser “más vale prevenir que curar” para eliminar cualquier duda. Por último, haz un seguimiento de la persona directamente y hazle saber a ella y a la empresa el impacto positivo que tiene la denuncia.

Inculcar enfoques proactivos

Es necesario promover una perspectiva de seguridad que se centre en cómo trabajar de forma segura, además de cómo evitar las amenazas. Si tus empleados pueden empezar a ser proactivos, el número de medidas reactivas que tendrán que tomar se reducirá automáticamente. Por ejemplo, en lugar de tener una política general de no trabajar desde casa porque no puedes controlar la configuración de seguridad del hogar, enséñales cómo trabajar desde casa de forma segura. Ten una guía paso a paso que puedan conservar en sus archivos y que les guíe a través de cualquier proceso, como el inicio de sesión seguro en los sistemas y la configuración de cortafuegos o VPN.

Sé accesible, sé receptivo

Para reforzar tu postura de seguridad, todos los empleados deben tomar medidas para proteger a la empresa. Sin embargo, la gente no sabe lo que no sabe. Educar a los empleados es tu responsabilidad, pero el seguimiento y la actuación sobre esa educación es de ellos. Cuanto más comunicativo y accesible seas, más comprometidos y alineados estarán los empleados con tus objetivos para la empresa. Al final, si las políticas y las expectativas se explican con claridad, si se toma el tiempo necesario para reforzar la información y si se reconoce y elogia a las personas que se presentan, se establecerá una empresa ciber inteligente en la que los empleados se sentirán capacitados, y eso es exactamente lo que se quiere cuando se trata de reforzar la primera línea de defensa.