Inicio / Cultura / Crear una cultura de ciberseguridad: ‘Las buenas intenciones no son suficientes’

Crear una cultura de ciberseguridad: ‘Las buenas intenciones no son suficientes’

Los líderes de Infosec esperan inculcar una cultura de ciberseguridad en sus organizaciones. Pero un experto dice que la acción habla más fuerte que las palabras.

«La cultura refleja en última instancia lo que haces», dice Merritt Baer, ​​director de la oficina del CISO en el servicio AWS de Amazon. «Obtienes una cultura de seguridad al hacerlo».

Fue entrevistada recientemente después de venir a la ciudad de Quebec para la conferencia Semaine numeriQC, donde habló sobre «Construir una cultura de seguridad cibernética».

La seguridad debe ser fundamental para la propuesta de valor que los líderes de TI y seguridad entregan a sus partes interesadas y usuarios, dijo. Y la única forma de hacerlo es incluir la seguridad en la entrega del negocio principal.

Por ejemplo, dijo, después de que Amazon capacitó a 2000 de sus desarrolladores en técnicas de seguridad cibernética, hubo un 22 % menos de vulnerabilidades de gravedad media y alta en el código que antes, y tomó menos tiempo hacer las revisiones del código de seguridad.

«Descubrimos que reducía toda la fricción de nuestro proceso de seguridad de aplicaciones de manera tan significativa que estábamos ahorrando una cantidad significativa de tiempo en el ciclo de desarrollo», dijo. «Por lo tanto, no se trata solo de hacer seguridad por el bien de la seguridad, sino también por los beneficios que se derivan de la entrega principal».

«Las buenas intenciones no son suficientes. No puedes decir que quieres una cultura de seguridad. Tienes que hacerlo y tienes que invertir en las operaciones diarias y las prioridades comerciales que permiten que la seguridad sea una prioridad principal».

«El objetivo es hacer que lo seguro sea algo fácil de hacer» para los empleados, mediante la automatización de los procedimientos de TI.

La razón por la que los líderes de seguridad de la información dicen que no pueden hacer eso es que no necesariamente han podido demostrar esa propuesta de valor de cómo la seguridad puede ser parte de todo lo que ofrecen, dijo.

Señalar «titulares aterradores» solo llegará hasta cierto punto, agregó. «No hay duda de que la mayoría de la gente [in all organizations] creo que la seguridad es importante», dijo. «Creo que la pregunta es cómo hacerlo de una manera que no sea una carga para el negocio».

La construcción de una cultura de seguridad necesita el patrocinio ejecutivo, dijo. Amazon tiene lo que ella llamó «escalada inculpable forzada»: si algo sale mal y no se soluciona, eso se puede informar a la cadena de gestión. El liderazgo senior «sabe que tiene que contestar el teléfono por seguridad. Ese es un sistema basado en valores. Hemos decidido que vamos a hacer de la seguridad algo por lo que todo el mundo debe preocuparse».

El mayor obstáculo para construir una cultura de ciberseguridad es «una percepción errónea del riesgo». La gente dudará en pasarse a la nube o ajustar sus enfoques manuales de seguridad porque no observan los riesgos de permanecer en el lugar. Así que creo que el obstáculo es: ‘Así es como siempre lo hemos hecho'».

Para construir una cultura de seguridad, los equipos de TI y seguridad deben hacer cosas como adoptar metodologías de desarrollo de aplicaciones ágiles y pensar en formas de hacer la infraestructura como código o hacer que el cifrado sea un requisito de política, dijo.

«Ser adverso al riesgo y ser la tienda tradicional de ‘No’… es lo que se interpone en el camino».

Puede interesarte

La creación de una cultura de seguridad cibernética organizacional es el tema de un nuevo libro blanco de CompTIA

La creación de una cultura de seguridad cibernética organizacional es el tema de un nuevo libro blanco de CompTIA

Perspectivas de expertos en seguridad cibernética sobre cómo las empresas pueden desarrollar una mentalidad de …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *