El nivel cultural de ciber seguridad de tu organización
Sobre cultura se habla mucho, y no sólo en el aspecto tecnológico/empresarial, si no desde la perspectiva antropológica o sociológica, y si consideramos que ahora los negocios operan necesariamente a través de internet, cuentan con servicios basados en la nube, mercados globales. Lo tradicional es que en cada organización haya un sólo responsable de máxima confianza que gestione o gobierne toda la parte tecnológica de la información.
¿Qué es cultura organizacional?
La cultura organizacional se entiende como los valores y comportamientos que colaboran a un ambiente psicológico y social único en una organización, que en conjunto con el conocimiento empresarial compartido logran el ecosistema empresarial adecuado, es decir, factores críticos de éxitos identificados en las personas, áreas y la empresa completa los cuales permitirán lograr las metas correspondientes tras un nivel adecuado de gestión y gobierno. Cuando hablamos de factores críticos de éxito consideramos a: la confianza existente entre colaboradores, los sistemas de información que convierten los datos en información, buena comunicación entre los equipos de trabajo para la transferencia de conocimiento, jerarquías o estructura organizacional que facilite el conocimiento compartido y finalmente un sistema de recompensa o premiación para apoyar la motivación e incentivo de facilitar el conocimiento compartido.
¿Y sobre la ciberseguridad?
En los factores críticos de éxito mencionado anteriormente, se hablaron de FCE generales, pero existen empresas que pueden considerar otros FCEs como la gestión de cambios y poder reducir la brecha de resistencia al cambio, reforzamiento motivacional el cual permite al personal empoderarlas de ciertas responsabilidades para lograr metas, gestión del conocimiento y procedimientos operativos estándar. Pero, si hablamos una cultura de ciberseguridad se tendrían que buscar sus propios FCEs, para ello es necesario partir desde un punto inicial, el objetivo, ciberseguridad tiene como objetivo proteger activos de información que son procesados, almacenados y transportados por los sistemas y tecnologías de la información. Punto. Sin embargo, la agresividad del crecimiento de internet ha permitido que las tecnologías de ataques avancen a gran medida que conllevan a que las organizaciones reflexionen respecto al cuidado de sus activos de información debido a que las consecuencias pueden ser catastróficas, como por ejemplo: el daño a la reputación de la imagen organizacional, pérdida de valor o hasta la bancarrota.
Sostenibilidad de ciberseguridad
Como pudo leer el tema de culturade ciberseguridad, está muy amarrado al comportamiento humano, mejor dicho muy amarrado al comportamiento de sus colaboradores, no es una lucha interna por saber quien conoce más una herramienta o método de seguridad, es tener claro con todos los participantes la necesidad para la vida empresarial (y también diaria) resguardar y cuidar su activo más preciado: la información. Entonces partiendo de que es necesario gestionar el comportamiento de nuestros colaboradores, es básico y necesario tener planes de capacitación y concienciación respecto a seguridad informática, en donde quede claro que el empoderamiento que se les brinda como colaboradores para que participen activamente en esta cultura servirá para ahorrar tiempo y dinero a la organización, además de que sientan que son parte de lago grande. También es importante entender las consecuencias de ignorar todos los riesgos tecnológicos y financieros que se direccionarán si se descuida esta parte.
Consejo audit
Tenga en cuenta que lo básico si es que necesita seguridad de la información en su organización es tener como primera medida el cambio de la cultura, sin cultura los controles más costosos que Ud. implemente le saldrá más caro por cosas insignificantes como asignar una contraseña del 1 al 6, dejar puertas sin llave o seguro, compartir usuarios, etc. En audit nos encargamos de capacitar al personal completo respecto a la seguridad de la información y sus consecuencias de la ignorancia a este tema.