Impulsar una cultura de riesgo es clave para fortalecer el eslabón más débil en ciberseguridad: las personas

Según el estudio Breakthrough realizado por Dell Technologies, si bien el 85% del liderazgo empresarial
en América Latina considera que su capital humano es fundamental para el desarrollo del negocio,
cuando se trata de ciberseguridad, el factor humano representa el mayor desafío para implementar de
forma exitosa una estrategia de ciberseguridad. Y es que, según el mismo reporte, 55% de los
encuestados consideran a los empleados como el eslabón más débil en estrategia de defensa ante
ciberataques.

La ciberseguridad es la garantía para la sostenibilidad de la transformación digital en las organizaciones.
Entender cómo responden las personas al contexto actual de incertidumbre, al constante “acecho” de
ciberdelincuentes, a la hora de diseñar la estrategia de ciberseguridad de las organizaciones, fue el
aporte del evento Ciberseguridad: miradas desde el ADN, un Think Tank organizado por Dell
Technologies con la participación de varios expertos.

En esta edición participaron Estanislao Bachrach, biólogo molecular, consultor en creatividad, innovación
y biotecnología en empresas privadas y organismos gubernamentales; Guillermo Garrido, director de
Habilitación de IT en el Tecnológico de Monterrey; Eddy Fortoul Cavicchioni, VPA de Ciberseguridad de
Banco General Panamá y Luis Goncalves, presidente de Dell Technologies Latinoamérica.
Ciberataques: la gran amenaza en la Era de los Datos

Cada 11 segundos, se produce un ataque cibernético o de ransomware exitoso, al tiempo que para las
organizaciones el costo promedio por ataque cibernético puede llegar a los 13 millones de dólares. Para
el 84% de los líderes de TI, la prevención de la pérdida de datos por ciberataques es más desafiantes en
los entornos de trabajo remoto, mientras que 70% de los ataques a la ciberseguridad de las empresas se
genera por fallos de comportamiento a nivel del usuario final. Y es que, en la Era de los Datos, las
amenazas de los ciberdelincuentes no dan tregua.

Para Estalinao Bachrach, ante un estado de asedio y/o riesgo, como antes los desafíos de un cambio
organizacional, los grupos humanos experimentan emociones displacenteras que activan por lo menos
tres tipos de reacciones: los sectores que se muestran apáticos ante los riesgos y no se involucran en los
cambios, los sectores que niegan la posibilidad de ser víctimas de las amenazas, y los grupos que se
comprometen con las acciones de reparación o transformación de la realidad.

“En la era de los datos, los ataques de la ciberseguridad de las organizaciones constituyen una amenaza
de impacto sin precedentes que exige a los directivos del desarrollo de cambio cultural que debe ser
planificado, con metas específicas, con plazos que pueden tomar de 3 a 5 años para evidenciar señales
de transformación y siempre que la empresa sepa seleccionar el liderazgo generalista que aglutine el
mayor número de voluntades en la empresa”, afirmó Bachrach.

Reconocimiento de los riesgos

Afianzar el reconocimiento de los riesgos personales y corporativos tras un ciberataque es clave para
dotar de contenido al desarrollo de una cultura organizacional en materia de ciberseguridad. En este
sentido, Eddy Fortoul Cavicchioni, es categórico al afirmar que los efectos de un ciberataque no sólo
tocan la integridad operativa del negocio, vulnera la integridad y seguridad de datos críticos para todo el
ecosistema de una empresa (clientes, colaboradores, proveedores, directivos y accionistas) y su
reputación en el mercado.

“Es fundamental el impulso de una cultura en ciberseguridad para el reconocimiento y la educación de
los factores de riesgos a los que estamos expuestos. Así como de la educación constante en torno a las
mejores prácticas de protección. Yo lo veo como un proceso similar al que hemos adoptado con el uso
del cinturón de seguridad al conducir un automóvil. Generaciones anteriores a las nuestras ni siquiera lo
utilizaban, pero la constancia y compromiso de la sociedad hizo conciencia sobre los beneficios de este
dispositivo para nuestra seguridad al volante. Cosa similar debemos impulsar para que todos nuestros
colaboradores sepan identificar un correo malicioso, por ejemplo”.

Ante esta aproximación, Guillermo Garrido, lleva la analogía personal del cinturón de seguridad a lo que
fue la adopción de una cultura de seguridad en los entornos de producción industrial. “Debemos ser
conscientes del hecho de que 98% de los ataques a la ciberseguridad de las organizaciones parte de un
error humano interno. La clave para el cambio en estos dos referentes ha estado en una estrategia de
capacitación de los usuarios, de adiestramiento de todos los públicos y de persistencia en la
comunicación de los calores de la nueva cultura organizacional. Conscientes de que la persistencia es
de largo aliento, y que implica el despliegue de distintas fórmulas pedagógicas que incentiven, motiven el
cambio”, afirmó.

Liderazgo y compromiso del equipo
Por su parte, Luis Gonçalves, Presidente de Dell Technologies Latinoamérica, destacó que si bien para
Dell la seguridad está presente desde la concepción de las plataformas de infraestructura y equipamiento
que todos sus miembros y clientes usan; ante las amenazas crecientes, las empresas deben armar a sus
empleados con el conocimiento adecuado y la comprensión de cómo pueden ayudar a frustrar a los
ciberdelincuentes si siguen los requisitos de seguridad que su organización ha establecido.

“La amenaza interna del comportamiento humano es uno de los aspectos más difíciles de controlar en
materia de seguridad. Construir una cultura de ciberseguridad dentro de una organización guía el
comportamiento de los empleados y aumenta la resiliencia cibernética. Una cultura de ciberseguridad
subyace en las prácticas, políticas y “reglas no escritas” que utilizan los empleados cuando realizan sus
actividades diarias. Pero también debe ser constituida en un clima de trabajo en equipo y un liderazgo
comprometido”, comentó Luis Gonçalves.

Finalmente, los expertos no dejaron de considerar los desafíos que en la construcción de una cultura de
ciberseguridad enfrentan las pequeñas y medianas empresas. Primero porque muchas no cuentan con la
información real sobre su estado de vulnerabilidad y exposición, y, por otra parte, porque pueden contar
con pocos medios para sustentar una estrategia de cambio cultural.

En este sentido, consideran primordial que las pymes adopten conciencia y conocimiento sobre los
riesgos a los que todos estamos expuestos, y lo crítico que puede ser para el negocio ser víctima de un
ciberataque. En el campo de la acción, acercarse a las asociaciones empresariales, gremios e
instituciones de apoyo oficial, es un primer paso para solicitar orientación y así poder activar el cambio
interno hacia una cultura de resiliencia en materia de ciberseguridad.