Dell apuesta al desarrollo de estrategias de ciberseguridad con foco en las personas

Según el estudio Breakthrough realizado por Dell Technologies, si bien el 85% del liderazgo empresarial en América Latina considera que su capital humano es fundamental para el desarrollo del negocio, cuando se trata de ciberseguridad, el factor humano representa el mayor desafío para implementar de forma exitosa una estrategia de ciberseguridad.

Y es que, según el mismo reporte, 55 % de los encuestados consideran a los empleados como el eslabón más débil en estrategia de defensa ante ciberataques.

La ciberseguridad es la garantía para la sostenibilidad de la transformación digital en las organizaciones. Entender cómo responden las personas al contexto actual de incertidumbre al constante “asecho” de ciberdelincuentes, a la hora de diseñar la estrategia de ciberseguridad de las organizaciones, fue el aporte del evento Ciberseguridad: miradas desde el ADN, un Think Tank organizado por Dell Technologies con la participación de varios expertos.

En esta edición participaron Estanislao Bachrach, biólogo molecular, consultor en creatividad, innovación y biotecnología en empresas privadas y organismos gubernamentales; Guillermo Garrido, director de Habilitación de IT en el Tecnológico de Monterrey; Eddy Fortoul Cavicchioni, VPA de Ciberseguridad de Banco General Panamá y Luis Goncalves, presidente de Dell Technologies Latinoamérica.

Presentó el panel la periodista Claudia Palacios, que comentó que la presentación «Se llama ciberseguridad, una mirada desde nuestro ADN. Lo interesante de este concepto es el doble sentido que tiene. Ustedes saben que en el ADN de las personas está protegernos, tener un instinto de supervivencia y eso es algo milenario que además está estudiado, y ustedes también saben que la cultura organizacional es parte del ADN de cada compañía, y que esa cultura organizacional la hacen las personas que son justamente las que en su ADN tienen ese instinto de supervivencia que necesitamos cuando estamos hablando de ciberseguridad».

Ciberataques: la gran amenaza en la Era de los Datos

Cada 11 segundos, se produce un ataque cibernético o de ransomware exitoso, al tiempo que para las organizaciones el costo promedio por ataque cibernético puede llegar a los 13 millones de dólares. Para el 84% de los líderes de TI, la prevención de la pérdida de datos por ciberataques es más desafiantes en los entornos de trabajo remoto, mientras que 70% de los ataques a la ciberseguridad de las empresas se genera por fallos de comportamiento a nivel del usuario final. Y es que, en la Era de los Datos, las amenazas de los ciberdelincuentes no dan tregua.

«Esa cultura organizacional la hacen las personas que son justamente las que en su ADN tienen ese instinto de supervivencia que necesitamos cuando estamos hablando de ciberseguridad»

Para Estanislao Bachrach, ante un estado de asedio y/o riesgo, como antes los desafíos de un cambio organizacional, los grupos humanos experimentan emociones displacenteras que activan por lo menos tres tipos de reacciones: los sectores que se muestran apáticos ante los riesgos y no se involucran en los cambios, los sectores que niegan la posibilidad de ser víctimas de las amenazas, y los grupos que se comprometen con las acciones de reparación o transformación de la realidad.

“En la era de los datos, los ataques de la ciberseguridad de las organizaciones constituyen una amenaza de impacto sin precedentes que exige a los directivos del desarrollo de cambio cultural que debe ser planificado, con metas específicas, con plazos que pueden tomar de 3 a 5 años para evidenciar señales de transformación y siempre que la empresa sepa seleccionar el liderazgo generalista que aglutine el mayor número de voluntades en la empresa”, afirmó Bachrach.

«Lo que estudiamos en organizaciones los biólogos, no es tanto la emoción que dispara la amenaza, sino la intensidad de esa emoción, porque cuanto más fuerte es la intensidad, menos claridad de pensamiento tenemos»

Para Bachrach, a las ciberamenazas en general respondemos de 3 maneras que no podemos controlar: «Va a haber gente que va a pelear contra las amenazas, quizás son los responsables hoy de crear estas estos algoritmos y estos procesos y tecnología que combate la las ciberamenazas con la ciberseguridad va a haber gente que se va a quedar como congelada. Que va a esperar que alguien los lidere para un lado o para el otro. No va a reaccionar ni responder de ninguna manera frente frente a estas amenazas y va a haber gente que va a negar. Se va a escapar, se va a ir. Estas amenazas disparan lo que conocemos en biología como emociones displacenteras, nos vamos a empezar a sentir incómodos, algunos se van a asustar, otros se van a poner nerviosos, otros se van a angustiar, otros se van a poner ansiosos, mucho miedo, pánico, todos vamos a reaccionar un poquito diferente. Lo que estudiamos en organizaciones los biólogos, no es tanto la emoción que dispara la amenaza, sino la intensidad de esa emoción, porque cuanto más fuerte es la intensidad, menos claridad de pensamiento tenemos y menos podemos resolver justamente estos problemas nuevos, estas amenazas, cómo serían las ciberamenazas en este caso», Y agrega que cuando se responde es peor. O se piensa con menos claridad porque están altamente emocionados de una manera displacentera, baja la productividad en las organizaciones, y esto hace que además de las ciberamenazas, empieza a haber más incertidumbre”.

Reconocimiento de los riesgos

Afianzar el reconocimiento de los riesgos personales y corporativos tras un ciberataque es clave para dotar de contenido al desarrollo de una cultura organizacional en materia de ciberseguridad. En este sentido, Eddy Fortoul Cavicchioni, es categórico al afirmar que los efectos de un ciberataque no sólo tocan la integridad operativa del negocio, vulnera la integridad y seguridad de datos críticos para todo el ecosistema de una empresa (clientes, colaboradores, proveedores, directivos y accionistas) y su reputación en el mercado.

“Es fundamental que el impulso de una cultura en ciberseguridad para del reconocimiento y la educación de los factores de riesgos a lo que estamos expuestos. Así como de la educación constante entorno a las mejores prácticas de protección. Yo lo veo como un proceso similar al que hemos adoptado con el uso del cinturón de seguridad al conducir un automóvil. Generaciones anteriores a las nuestras ni siquiera lo utilizaban, pero la constancia y compromiso de la sociedad hizo conciencia sobre los beneficios de este dispositivo para nuestra seguridad al volante. Cosa similar debemos impulsar para que todos nuestros colaboradores sepan identificar un correo malicioso, por ejemplo”.

Fortoul Cavicchioni asegura que el factor humano es fundamental. «Podemos tener toda la tecnología del mundo, todos los procesos del mundo, pero quiénes estamos detrás de esto somos personas. Hay nativos digitales, millennials, que nacieron con una tablet en la mano y saben manejar esto perfectamente, aunque muchos de ellos no están todavía en el mundo laboral. Y hay gente que superan a tecnología en el transcurrir de los años y eso ha sido un proceso de adaptación costoso, complejo, en el cual nosotros tenemos que buscar educar y darle herramientas a cada uno en el caso de los bancos, a los colaboradores nuestros, e incluso a los a los clientes, a quienes tenemos que concientizar en el buen manejo de su banca en línea, de su banca móvil, de las herramientas para mover su dinero».

«Podemos tener toda la tecnología del mundo, todos los procesos del mundo, pero quiénes estamos detrás de esto somos personas»

Y Fortoul Cavicchioni agrega que «al final esas amenazas no son sólo para las organizaciones, son para cada uno de nosotros y la idea es que en la medida que vayamos evolucionando los vamos a ir viendo cómo el ser humano es un animal de costumbres, así que nosotros vamos viendo cómo van evolucionando en el mejor manejo de las herramientas e tecnológicas y quizás a veces vemos que entran en entramos en un proceso como de paranoia, donde ahora yo no abro ningún correo, ahora yo no toco nada. Vamos adiestrándolos en el buen manejo de las herramientas digitales, vamos viendo cómo le van, van entendiendo y van captando mejor cuáles son las amenazas».

Ante esta aproximación, Guillermo Garrido, lleva la analogía personal del cinturón de seguridad a lo que fue la adopción de una cultura de seguridad en los entornos producción industrial. “Debemos ser conscientes del hecho de que 98% de los ataques a la ciberseguridad de las organizaciones parte de un error humano interno. La clave para el cambio en estos dos referentes ha estado en una estrategia de capacitación de los usuarios, de adiestramiento de todos los públicos y de persistencia en la comunicación de los calores de la nueva cultura organizacional. Conscientes de que la persistencia es de largo aliento, y que implica el despliegue de distintas fórmulas pedagógicas que incentiven, motiven el cambio”, afirmó.

Para Garrido en el sector educativo están en una situación en la que su exposición es muy grande, «internamente que decimos cuántos elementos de ciberseguridad o cuántos dispositivos de seguridad tenemos, y yo siempre comento que tenemos cientos de miles, que son todos los públicos con los que nos manejamos. Definitivamente este tenemos una fuerte inversión y una fuerte dedicación a temas de ciberseguridad. Pero basta que cometamos un error cualquiera de nosotros, tanto los colaboradores como los profesores, como los alumnos, como los padres, cometamos un error para que sea aprovechado. Sin embargo, nosotros tenemos que estar constantemente preparados, tenemos que ver al proceso como una parte fundamental de nuestra estrategia, en la cual la capacitación habilita a nuestros públicos, les hace conscientes de que está pasando».

Goncalves comenta que desde Dell tienen que hacer un esfuerzo muy fuerte para que la gente no pierda de vista el factor ciberseguridad usando en las estrategias el factor humano, y asegura que es una de las prioridades de cualquier compañía, «tomamos la estrategia de ciberseguridad construyendo la en base a 3 pilares muy importantes, arrancando por las personas, porque al final del día pudiéramos traer la mejor tecnología de señalar los mejores procesos, pero si las personas no tienen el conocimiento, las prácticas, y la tecnología para soportarlos al final del día, seguimos expuestos a los cibercriminales. Por eso creemos que la seguridad debe ser construida desde la concepción, no sólo en las plataformas y de infraestructuras, o los equipamientos que se utilizan, sino que también en la parte cultural de la compañía, la cultura de ciberseguridad, mientras abordan el factor humano en la ciberseguridad, los miembros de nuestros equipos saben que la organización los respalda, que la seguridad es intrínseca. También es fundamental no perder nunca de vista las contribuciones de los empleados en enriquecer en este giro. Diseñar procesos, compartir las experiencias, y así como que, creando un pool de conocimiento para estar listos para lidiar con las cuestiones relacionadas a ciberseguridad, al final del día todas las intervenciones deben realizarse en el contexto de una cultura organizacional».

«Conscientes de que la persistencia es de largo aliento, y que implica el despliegue de distintas fórmulas pedagógicas que incentiven, motiven el cambio»

«Nosotros como Dell llevamos esa cultura hasta nuestro ecosistema de proveedores, para que éstos también estén compartiendo nuestros valores, nuestras prácticas, nuestros flujos, nuestros procesos y también la concientización de sus empleados, sus colaboradores, para que esté desde el principio de la cadena donde se adquieren los componentes, hasta los clientes, porque ahí llevamos productos y llevamos datos que pertenecen a nuestros clientes. En la interacción que tenemos con ellos, este todo cubierto por un proceso estructurado que arranca con las personas», agrega Goncalves.

Liderazgo y compromiso del equipo

Por su parte, Luis Gonçalves, Presidente de Dell Technologies Latinoamérica, destacó que si bien para Dell la seguridad está presente desde la concepción de las plataformas de infraestructura y equipamiento que todos sus miembros y clientes usan; ante las amenazas crecientes, las empresas deben armar a sus empleados con el conocimiento adecuado y la comprensión de cómo pueden ayudar a frustrar a los ciberdelincuentes si siguen los requisitos de seguridad que su organización ha establecido.

“La amenaza interna del comportamiento humano es uno de los aspectos más difíciles de controlar en materia de seguridad. Construir una cultura de ciberseguridad dentro de una organización guía el comportamiento de los empleados y aumenta la resiliencia cibernética. Una cultura de ciberseguridad subyace en las prácticas, políticas y “reglas no escritas” que utilizan los empleados cuando realizan sus actividades diarias. Pero también debe ser constituida en un clima de trabajo en equipo y un liderazgo comprometido”, comentó Luis Gonçalves.

Fortoul Cavicchioni habla de su industria, donde «efectivamente hay un peso extra porque tenemos que custodiar el dinero de nuestros clientes y, como siempre, repito, los maleantes cambiaron las pistolas por teclados. La ciberseguridad no una moda, sino es algo que debemos pregestionar de forma muy seria porque, como ustedes, seguramente en cada uno de sus países están viendo que ya casi no se notan robos a sucursales bancarias, porque el botín era limitado a la cantidad de dinero que puede haber ahí, en cambio bajo el anonimato de un teclado, es mucho más sencillo perpetrar un delito. Así que efectivamente nosotros tenemos la labor de concientizar a nuestro cliente. y por supuesto concientizar a nuestros colaboradores. Tenemos que ir construyendo una estrategia alrededor de ese cambio conductual».

«Por eso creemos que la seguridad debe ser construida desde la concepción, no sólo en las plataformas y de infraestructuras, o los equipamientos que se utilizan, sino que también en la parte cultural de la compañía»

Para Bachrach «Cuando entramos a las organizaciones es que esos cambios culturales llevan mucho tiempo de realizar, entre 3 y 5 años de trabajo, de recursos, No solamente hay que invertir en tecnología y en procesos, sino también en las personas para poder capacitarlos y también está demostrado que sin un buen liderazgo para esos cambios los cambios no van a suceder. Y muchas compañías muchas veces lo que observamos es qué eligen mal a los líderes, es decir, los líderes que llevan adelante los cambios son simplemente los líderes de la compañía, pero no necesariamente son los líderes del cambio de las compañías. A veces hay que estudiar bien quiénes pueden liderar los cambios no son siempre los que lideran la compañía. Obviamente, el reto es tan grande que quisiéramos solucionarlo ya en un abrir y cerrar de ojos, pero como nos dicen, piano, piano, se llega a lontano y hay que hacer las cosas paso a paso, porque sino los colaboradores no responden, sino que se abruman».

Finalmente, los expertos no dejaron de considerar los desafíos que en la construcción de una cultura de ciberseguridad enfrentan las pequeñas y medianas empresas. Primero porque muchas no cuentan con la información real sobre su estado de vulnerabilidad y exposición, y, por otra parte, porque pueden contar con pocos medios para sustentar una estrategia de cambio cultural.

En este sentido, consideran primordial que las pymes adopten conciencia y conocimiento sobre los riesgos a los que todos estamos expuestos, y lo crítico que puede ser para el negocio ser víctima de un ciberataque. En el campo de la acción, acercarse a las asociaciones empresariales, gremios e instituciones de apoyo oficial, es un primer paso para solicitar orientación y así poder activar el cambio interno hacia una cultura de resiliencia en materia de ciberseguridad.