Los profesionales reconocen que el fomento de una cultura de ciberseguridad sólida es un elemento fundamental para crear un programa de seguridad sólido y saludable. Sin embargo, una investigación reciente realizada por el Enterprise Strategy Group de TechTarget y la Information Systems Security Association (ISSA) encontró que muchos CISO creen que las empresas tienen un largo camino por recorrer para establecer culturas de ciberseguridad apropiadas dentro de sus organizaciones.
¿Qué es exactamente la cultura de la ciberseguridad? La Agencia de la Unión Europea para la Seguridad de las Redes y de la Información (ENISA) ofrece la siguiente definición:
“El concepto de cultura de ciberseguridad (CSC) se refiere a los conocimientos, creencias, percepciones, actitudes, suposiciones, normas y valores de las personas respecto a la ciberseguridad y cómo se manifiestan en el comportamiento de las personas con las tecnologías de la información. CSC abarca temas familiares que incluyen la concientización sobre la ciberseguridad y los marcos de seguridad de la información, pero es más amplio tanto en alcance como en aplicación, y se preocupa por hacer que las consideraciones de seguridad de la información sean una parte integral del trabajo, los hábitos y la conducta de un empleado, incorporándolos en sus acciones diarias. .”
En otras palabras, una cultura de ciberseguridad promueve la ciberseguridad como un componente necesario para lograr la misión general de una organización. De hecho, la investigación revela que los CISO creen que la cultura de la ciberseguridad está inexorablemente vinculada a las mejores prácticas de seguridad en la prevención, detección y respuesta a amenazas. Cuando se les preguntó cómo podrían mejorar el programa de ciberseguridad de su organización en general, el 60 % de los CISO encuestados afirmaron que deberían esforzarse por crear una mejor cultura de ciberseguridad en toda la organización, en comparación con el 42 % de todos los demás encuestados.
Vale la pena señalar que los CISO también creen que su programa de ciberseguridad podría mejorarse involucrando más a los ejecutivos y la junta directiva en la toma de decisiones y la supervisión de la ciberseguridad, aumentando el presupuesto de ciberseguridad y mejorando la higiene y la gestión de la postura de seguridad, todos los cuales son componentes de una estrategia sólida. cultura de ciberseguridad.
La mayoría de los CISO ven la necesidad de mejorar la cultura de ciberseguridad
Los datos también apuntan a que hay trabajo por delante. Si bien más de un tercio (36 %) de los CISO califican la cultura de ciberseguridad de su organización como avanzada (un poco más que todos los demás encuestados), el 34 % afirma que su cultura de ciberseguridad es promedio. Es alarmante que el 30% no sea tan positivo y califique la cultura de ciberseguridad de su organización como regular o mala.
Dada la importancia de la cultura de la ciberseguridad, los datos parecen indicar una desconexión entre los CISO y otros ejecutivos de empresas. Desafortunadamente, esto parece ser un riesgo laboral para los CISO. Cuando se les preguntó si alguna vez habían trabajado para una organización que ignoraba deliberadamente las mejores prácticas de seguridad o los requisitos de cumplimiento normativo, más de dos tercios (68%) de los CISO respondieron que habían trabajado para al menos una de esas organizaciones, en comparación con el 57% de todos. otros encuestados.