Cómo los líderes pueden crear una cultura de ciberseguridad en el lugar de trabajo

Los jefes pueden empezar destacando la importancia de la seguridad informática tan a menudo como sea posible.

Todo el mundo habla de la boca para afuera sobre la idea de crear una organización de ciberseguridad y resistencia cibernética. Pero pocos líderes saben cómo lograrlo.

 

Sin duda, no es fácil. Surgen nuevas vulnerabilidades a diario, a medida que actores maliciosos de ciberseguridad encuentran nuevas formas de atacar o infiltrarse en las organizaciones. La tecnología puede ayudar, pero solo hasta cierto punto. Igual de importante es una cultura donde ‘todos' los empleados llenen los vacíos; advirtiendo anomalías, cuestionando cosas que podrían parecer legítimas pero que están ligeramente fuera de lugar en cierta forma, o deteniendo procesos comprometidos que de lo contrario seguirían.

 

Sin embargo, ¿cómo logra que los empleados absorban los valores cruciales para crear una organización cibersegura? Durante varios años, hemos estado estudiando empresas que han logrado hacer exactamente eso, y hemos identificado siete medidas que los directores corporativos pueden tomar para asegurarse de que todos los empleados participen en el mantenimiento de la seguridad de la organización.

 

Mientras más destaca un líder la importancia de la ciberseguridad, más atención pondrán los empleados. En las organizaciones que estudiamos, vimos que cuando los empleados saben que la ciberseguridad es importante para su supervisor o los jefes más arriba en el liderazgo, desarrollan una actitud que es algo a lo que vale la pena dedicarle tiempo.
En una compañía, los empleados escuchaban habitualmente al jefe ejecutivo elogiar al equipo de ciberseguridad en reuniones generales, y explicar por qué la ciberseguridad era importante. Eso inevitablemente se filtraba por toda la institución. Los empleados con los que hablamos tenían pocas dudas de que la ciberseguridad no era simplemente un eslogan vacío, y encontraban formas de contribuir.
En otras compañías que estudiamos, a algunos empleados les pidieron que crearan un video corto de un tema de ciberseguridad —tal como mantener la privacidad de los documentos, o cómo proteger antecedentes— y lo compartieran con los miembros de su equipo. La investigación que incluyeron en la creación de su video no solo los benefició, sino que también creó una biblioteca de videos cortos, entretenidos de los cuales todos los miembros del equipo podrían aprender.

En una compañía que estudiamos, los jefes ponían énfasis en la importancia de la “protección de datos”, en vez de llamarla “ciberseguridad” en sus comunicaciones y capacitación. Eso tal vez suene trivial. Pero nos enteramos de que los empleados encontraban que la “ciberseguridad” era demasiado confusa. Sabían que era importante, pero no sabían en realidad qué significaba y cómo podían contribuir. Cuando el foco se puso en “protección de datos”, eso creó un cambio monumental en sus actitudes. Sabían qué eran los datos, porque trabajaban con estos todo el tiempo. Proteger los datos era un valor en torno al cual podían unirse y apoyar, y así lo hicieron.

Mientras menos fricción cree una empresa en torno a la ciberseguridad, mayor es la probabilidad de que los empleados tomen las medidas apropiadas. Por ejemplo, en varias compañías que estudiamos, el equipo de seguridad había agregado un botón a su cliente de correo electrónico que facilitaba que los empleados reenviaran los correos electrónicos sospechosos a seguridad. Lo que sucedió después no fue una sorpresa: era más probable que los empleados reenviaran los correos sospechosos en esas compañías que en aquellas donde los empleados no tenían una forma fácil de hacerlo.
En otra compañía, la persona a cargo de la cultura de ciberseguridad utilizó juegos, cortos de películas y canciones muy conocidos para inculcar mensajes de ciberseguridad. Estos eran tan populares que los empleados esperaban con ansias el siguiente, y mientras se entretenían, sus actitudes —y comportamientos en cuanto a ciberseguridad— cambiaron.

Cuando vea a alguien que está haciendo algo para que el entorno sea más seguro, haga que todo el mundo lo sepa. Una empresa que estudiamos ofrecía insignias digitales a los empleados que fueran más allá de demostrar valores de ciberseguridad. Los empleados premiados podían poner la insignia en su firma de correo electrónico, y así lo hicieron. Esas insignias digitales indicaban a todos los demás que este era un “ciberhéroe”. ¿Cursi? Tal vez. ¿Eficaz? Sin ninguna duda. Estos héroes se convirtieron en líderes informales de referencia en sus equipos, reforzando los valores de ciberseguridad. Mientras más héroes haya en su equipo, más seguro será este.

Muchas organizaciones ponen en práctica programas de capacitación y campañas de concientización para inculcar valores de ciberseguridad. Estos son importantes para establecer un punto de partida, pero no son suficientes. Preguntamos a los empleados qué recordaban de su capacitación o campañas de concientización. A menudo, solo podían decirnos ‘cuándo' tuvieron su clase de capacitación más reciente, no ‘qué' aprendieron. Solo habían estado en la clase (generalmente en línea) porque era obligatoria. A menudo estaban atendiendo su correo electrónico u otra actividad paralela, porque la capacitación tenía lugar cuando la organización necesitaba que lo hicieran, más bien que cuando era el momento óptimo para el empleado. No es de extrañarse que la permanencia a largo plazo fuera baja o inexistente.

Las organizaciones que tuvieron más éxito fueron más allá de la capacitación y concientización. En varias, los líderes ofrecían recompensas por las actividades de seguridad. Un jefe en un banco que estudiamos ofrecía una galleta con chips de chocolate a los primeros 100 empleados que respondieran a una lista de actividades que creó para fomentar una cultura cibersegura. Se quedó sin galletas dentro de una hora. Otra organización ofrecía incentivos como un regalo con la marca de la compañía que se podía ganar por completar tareas, y títulos divertidos (como Caballero de la Contraseña) para aquellos que participaban en competencias amistosas entre equipos. Una tercera compañía incluyó una evaluación de ciberseguridad en la revisión anual del empleado, y que llevó a la actitud de que la ciberseguridad era importante y que se premiaba.

Los jefes que invierten en iniciativas de ciberseguridad envían el mensaje de que esto es importante, y aquellos que pasan por alto firmemente el financiamiento de ciberiniciativas envían el mensaje contrario.
Cuando hablamos con diseñadores y creadores de productos, habitualmente nos decían que la ciberseguridad era importante, pero a menudo también mencionaban que no era su labor crear ofertas seguras. Claramente, habían recibido el mensaje de sus jefes que debían dar prioridad a cumplir, por ejemplo, los plazos de lanzamiento o la elegancia del diseño. Las funciones de ciberseguridad estaban más abajo en la lista de prioridades.

De hecho, supimos que nunca se elogiaba a los diseñadores por diseños seguros, pero sí habitualmente por diseños elegantes y funcionales. Los gerentes podrían intervenir aquí para dejar en claro que los clientes valoran cada vez más la ciberseguridad, y en algunos casos rechazan considerar siquiera hacer negocios con una compañía que no está catalogada como cibersegura. En una empresa, los creadores se reunieron con clientes clave para entender por qué la ciberseguridad era tan importante para ellos. En esta empresa, los gerentes no solo dijeron a los diseñadores que dieran prioridad a la ciberseguridad sino que también luego los elogiaron por hacerlo.

El entorno de trabajo híbrido de hoy en día está acompañado de una mezcla más grande de vida familiar y laboral. La ciberseguridad también sigue este patrón. Ayudar a que los empleados tengan una actitud de ciberseguridad en casa es otra forma en que las empresas pueden crear el convencimiento que quieren en la oficina.

Una compañía que estudiamos invirtió en gestores de contraseña para la oficina y una segunda copia para que los empleados la utilizaran en sus credenciales personales. Otra empresa compartía habitualmente historias sobre ciberataques y analizaba el potencial impacto personal. Estas actividades demostraban a los empleados que la compañía apoyaba su ciberseguridad personal, lo que, a su vez, definía la creencia de que estar seguro no era solo algo que la compañía quería que se hiciera para mantenerse a salvo, sino que era tanto personal como profesionalmente importante para los empleados. El resultado fue que los empleados no tenían que cambiar su forma de pensar cuando iban de la casa a la oficina o de la oficina a la casa. Pensaban en eso todo el tiempo. Y eso hizo que todo el mundo estuviera mucho más seguro.

—La Dra. Keri Pearlson es directora ejecutiva del consorcio Cybersecurity at MIT Sloan (CAMS). El Dr. Stuart Madnick es profesor emérito John Norris Maguire de tecnologías de la información en la MIT Sloan School of Management y director fundador del consorcio de investigación CAMS. (Artículo traducido del inglés por “El Mercurio”).