Distintas estadísticas internacionales de una gran cantidad de consultoras y vendors reconocidos demuestran el factor humano es el eslabón más débil en términos de ciberseguridad.

Particularmente me gusta pensar que es el principal vector de ataque, fruto de la falta de cultura de ciberseguridad. Solo pensar en la inversión que las compañías ejecutan para dar seguridad a los sistemas operativos o plataformas comparado con la realizada en las personas (Sistema Operativo Humano) abona esta conclusión.

Ser el principal vector de ataque alcanza a usuarios no técnicos que por desconocimiento o engaño caen en un phishing o algún otra técnica de ingeniería social, hasta personal técnico que no comprende el riesgo de no implementar parches, de no gestionar identidades según el criterio de mínimo privilegio o de implementar tecnologías con sus configuraciones por defecto, entre tantos otros problemas que hacen a que una compañía no se encuentre correctamente asegurada.

Para abordar esta problemática no alcanza solamente con establecer procesos de gestión e implementar tecnologías de protección. El factor humano debe ser abordado como parte de la cultura de la compañía y para ello es importante establecer una cultura de ciberseguridad.

Que es?

La cultura de ciberseguridad es la capacidad de generar usuarios entrenados con sentido del ownership del problema. Es decir, que entiendan que “la seguridad la hacemos entre todos”

Por qué?

Esto se debe, como decíamos antes, a que el usuario es el principal vector de ataque y por ello debemos entrenarlo.

Para qué?

Las compañías operan en función de personas, que ejecutan procesos y se apoyan en tecnologías para trabajar. Esto le da forma a este modelo operativo de 3 patas.

Debido a que en términos de seguridad, las personas quedaban en segundo plano, la cultura de seguridad viene a balancear el sistema: Personas + Procesos + Tecnologías.

En @Teetech aportamos valor a las compañías ayudando a implementar la cultura de seguridad. Para esto diseñamos un servicio gestionado que te permite:

• Definir una estrategia de concientización basada en la cultura organizacional de la compañía.
• Definir funciones, el proceso, audiencias y canales
• Establecer las temáticas a abordar
• Definir los tipos de campañas a ejecutar y el calendario
• Crear y ejecutar las campañas
• Ejecutar campañas de simulación de phishing e ingeniería social
• Medir los resultados y mejorar el programa de forma continua