Por Shambhuligayya Aralelemath
Una empresa puede inspirar y desarrollar la seguridad como cultura entre sus empleados con una base de conocimientos, procesos, políticas y valores establecidos que ayuden a los empleados a ver la ciberseguridad como una parte importante de sus responsabilidades diarias.
Con la rápida adopción de la transformación digital, las empresas deben evolucionar continuamente su cultura de seguridad en respuesta a la evolución de las superficies de ataque y las amenazas. Un marco de seguridad bien definido debería permitir a la empresa identificar, proteger, identificar, responder y demostrar resiliencia ante incidentes y ataques cibernéticos. Sin embargo, las políticas de seguridad empresarial sólo pueden verse como directrices y no como reglas obligatorias. La simple implementación de controles tecnológicos sin considerar su integración y correlación con el panorama de amenazas no protegerá a una empresa. Las empresas deben crear e implementar un cambio en la mentalidad de seguridad, fomentar la concienciación sobre la seguridad y continuar creando un tejido cultural de seguridad que sea coherente con el ecosistema general de concienciación sobre los riesgos en los negocios.
La implementación de un ecosistema consciente de la ciberseguridad requiere un enfoque bien considerado, con la participación de todos los sectores de empleados y el patrocinio de los altos directivos, incluidos los miembros de la junta directiva. Esto debería combinarse para tejer un tejido de confianza dentro de la empresa con una comprensión y adopción común de políticas, procesos y estándares de ciberseguridad entre todas las partes interesadas, correspondientes a sus funciones y responsabilidades, con miras a fortalecer la defensa contra los ciberataques. Si bien no existe una fórmula mágica que defina unilateralmente el enfoque para adoptar la seguridad como paradigma cultural en los segmentos empresariales, los pasos más comunes que se deben considerar al definir un marco de ciberseguridad son:
Establecer defensores de la concientización sobre la ciberseguridad: Se debería formar un grupo de trabajo para definir la política de cultura de ciberseguridad y el enfoque para lanzar iniciativas para mejorar la concienciación sobre la seguridad. Debe tener en cuenta los niveles de madurez de seguridad y retroalimentación de una muestra representativa diversa de empleados. El equipo debe preparar los conjuntos de datos necesarios para la alineación del liderazgo superior e implementar un enfoque basado en evidencia para adoptar iniciativas de concientización sobre la seguridad.
Comprender la cultura empresarial y los riesgos: Comprender las iniciativas, los procesos y los estándares actuales de concientización sobre la seguridad puede reducir la resistencia a adoptar una cultura de seguridad y ayudar a impulsarla como un facilitador para el negocio.
Análisis de la brecha entre el estado actual y el estado objetivo de adopción.: Una empresa debe tener visibilidad de su panorama, controles de seguridad y madurez. El análisis de brechas y el diagnóstico del estado actual ayudan a identificar funciones de ciberseguridad (con y sin intervenciones) para llevar la misma aplicación a toda la empresa. Por ejemplo, diagnosticar el estado actual de uso de credenciales privilegiadas y cómo se pueden obtener dichas credenciales para reducir el riesgo de que el acceso privilegiado se vea comprometido debido a vectores de ataque generalizados.
Determinar las consecuencias para el logro del estado objetivo de la cultura de seguridad.: La cultura de seguridad requiere un esquema claro de los principales objetivos y criterios de éxito para evaluar el éxito de su adopción. Los objetivos deben estar alineados con las tendencias en ataques de ciberseguridad y la necesidad empresarial de responder a las amenazas más inmediatas con iniciativas planificadas. Por ejemplo, una adecuada concienciación de los empleados y el uso de controles pueden abordar los ataques de phishing, el compromiso de credenciales y las filtraciones de datos.
Definir e implementar los objetivos del programa para lograr el estado de adopción objetivo: Evaluar el impacto del marco de ciberseguridad en el estado objetivo identificado. Hay que priorizar las tareas y planificar su ejecución para lograr los resultados deseados. Los objetivos del programa deben estar alineados con los mandatos de liderazgo y el estado objetivo puede asignarse a una ruta óptima del plan de implementación. Por ejemplo, programar capacitaciones de concientización sobre seguridad, realizar seminarios web sobre las últimas tendencias en ciberseguridad, observar eventos como el día mundial de la contraseña, el mes de la ciberseguridad, etc.
Utilice las tendencias tecnológicas y la IA para mejorar la solidez de la postura de seguridad: Las empresas deben adoptar los principios de desplazamiento a la izquierda, seguro por diseño y otras medidas tecnológicas para adaptar su arquitectura de seguridad empresarial a los estándares regulatorios apropiados. La adopción de tecnologías basadas en IA mejora la postura de seguridad de los dominios cibernéticos y ayuda a identificar rápidamente cualquier desviación anormal. Por ejemplo, hacer negocios para la adopción segura de ChatGPT con un enfoque en la protección de datos y la protección de propiedad intelectual.
Evaluación continua y conocimientos para mejorar el enfoque: Identificar métricas para resultados definidos y su impacto en el fortalecimiento del marco de habilitación de ciberseguridad. Estas métricas también proporcionan información sobre las correcciones necesarias para el objetivo establecido, el plan de implementación o ambos. La evaluación ayuda a proporcionar información detallada sobre las iniciativas implementadas para la adopción universal de la seguridad como cultura dentro de la empresa.
Seguir un enfoque bien definido ayudará a la empresa a habilitar, inspirar y hacer cumplir la adopción de la seguridad como cultura. Este es un proceso continuo y requiere un patrocinio de arriba hacia abajo desde el nivel de la junta directiva y una adopción de abajo hacia arriba por parte de las unidades de negocios para garantizar la adopción universal. Una cultura de seguridad sólida permite a los funcionarios empresariales utilizar las herramientas, el conocimiento, la capacitación y las habilidades para adoptar un enfoque que prioriza la seguridad y proteger proactivamente la empresa de las amenazas cibernéticas emergentes.
SOBRE EL AUTOR:
Shambhuligayya Aralelemath, vicepresidente asociado y director de entrega global, ciberseguridad, Infosys
Shambulingayya Aralelemath (Shambhu) es el jefe de Entrega Global de la Práctica de Ciberseguridad de Infosys. Tiene experiencia en tecnología de la información y ciberseguridad en diversas industrias. Shambhu lidera nuevas iniciativas de oferta, soluciones de preventa, ingeniería de plataforma Cyber Next, asociaciones estratégicas y alianzas en Infosys, y las opiniones expresadas en este artículo son suyas.