[07/02/2022] Los programas de ciberseguridad fomentan y promueven la concientización sobre la ciberseguridad dentro de una empresa, combinando la educación con la colaboración entre iguales para integrar una cultura de comprensión de la seguridad, apoyo y comportamiento positivo entre la planilla. Un programa típico consiste en individuos de diferentes departamentos que actúan como defensores de la seguridad para su función, y ayudan a dar forma al enfoque de ciberseguridad de una organización a nivel interno.
Los programas de defensores de la ciberseguridad, cada vez más populares en una amplia gama de sectores, han demostrado ser tan beneficiosos que se han convertido en componentes integrales de las estrategias de concientización sobre ciberseguridad de algunas organizaciones.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Un programa de campeones de ciberseguridad eficaz y productivo requiere varios elementos clave para alcanzar sus objetivos y evitar que sea una inversión desperdiciada. A continuación, se exponen las ventajas de llevar a cabo un programa de campeones de ciberseguridad para los CISOs con cinco pasos para hacerlo, incluyendo consejos de líderes de seguridad y expertos que tienen experiencia de primera mano en este ámbito.
Ventajas de un programa de campeones de ciberseguridad
Los beneficios de un programa de campeones de ciberseguridad bien orquestado pueden variar dependiendo de factores como el tamaño y el sector, pero las ventajas generales son universales, coinciden los expertos. "Para involucrar realmente a la gente en la ciberseguridad e influir positivamente en sus comportamientos, es clave que expliquemos el 'por qué' de todo lo que hablamos. Cuando se hace bien, un programa de campeones de ciberseguridad es más eficaz para lograr esto que cualquier otra cosa", comenta Jessica Barker, cofundadora y líder sociotécnica de Cygenta. "Un programa de campeones permite aumentar la concientización, adaptar las comunicaciones para que sean lo más relevantes posible y aumentar la notificación de incidentes. Y lo que es más importante, un programa de campeones exitoso es una de las mejores maneras de escuchar a sus colegas en toda su organización, y entender sus percepciones y desafíos con respecto a la ciberseguridad."
La CISO de MongoDB, Lena Smart, que estableció el Programa de Campeones de Seguridad de MongoDB, está de acuerdo. "Dado el rápido crecimiento que estamos experimentando, vemos la seguridad como un diferenciador y creemos que construir una cultura fuerte donde mi equipo es visto como un socio y facilitador para el resto del negocio, es primordial para nuestro éxito. Nuestro programa contribuye a ello y crea un interés personal en mantener la seguridad de la empresa".
Uno de los aspectos positivos que Smart ha observado en el programa es que se ha convertido en una vía para reclutar nuevos talentos para el equipo de seguridad. "Hemos tenido varios empleados que se han trasladado a puestos de seguridad a tiempo completo desde otros equipos. En mi opinión, puede ser más fácil enseñar a alguien habilidades de seguridad, que intentar contratar a alguien de fuera que marque todas las casillas con experiencia previa".
La comunicación y la colaboración entre departamentos también se ha visto impulsada por el mayor compromiso de otros equipos con la función de seguridad, afirma Smart. "Asistimos a las reuniones de planificación de la hoja de ruta de los productos con nuestros equipos de ingeniería para poder estar allí, y comprender mejor y proporcionar comentarios sobre las consideraciones de seguridad, por ejemplo".
Un programa sólido ayuda a desmitificar la ciberseguridad para los empleados que no se dedican a ella y a acercarla a sus propias especialidades. "La gente suele pensar que la ciberseguridad es un concepto insondable y profundamente técnico, pero contar con campeones de seguridad crea un diálogo abierto, y plantear los problemas y las amenazas de seguridad de forma que sean relevantes para las funciones específicas es la mejor forma de abordar este tema", explica el doctor John Blythe, psicólogo colegiado y director de psicología de la fuerza de trabajo cibernética en la empresa de formación en ciberseguridad Immersive Labs. "Los ingenieros necesitan entender cómo escribir código seguro, los equipos ejecutivos necesitan saber cómo responder mejor en una crisis cibernética y los equipos de TI necesitan saber cómo asegurar la infraestructura de la nube".
Una vez formados, los campeones de ciberseguridad pueden identificar y abordar las vulnerabilidades de ciberseguridad antes de que se conviertan en algo generalizado y problemático, añade Dominic Grunden, CISO de UnionDigital Bank. "Al hacerlo, pueden ahorrar a las organizaciones tiempo y dinero significativos en el proceso", añade. Grunden ha integrado y dirigido programas de campeones de ciberseguridad en múltiples sectores y organizaciones.
5 pasos para el éxito de un programa de campeones de ciberseguridad
1. Planifique a fondo su programa de campeones de seguridad: Barker afirma que la planificación previa es clave para lanzar y mantener un programa de campeones de ciberseguridad con éxito. "Hemos trabajado con muchas organizaciones que no planificaron un programa de campeones. Fueron directamente a la contratación y al lanzamiento. Al cabo de un año más o menos, el programa no daba resultados y se desvanecía", afirma.
Barker y sus colegas han pasado varios años desarrollando el Champion Leader Framework y convirtiéndolo en un curso en línea, y los nuevos clientes a menudo se sorprenden por la cantidad de trabajo preparatorio que necesitan hacer antes de empezar a reclutar campeones, añade. "Construir un programa que se adapte a su organización -y sentar las bases adecuadas en términos de objetivos, incentivos y funciones- es crucial".
2. Conseguir que la dirección apoye el programa: El apoyo de los líderes tiene un impacto significativo en el éxito de un programa de campeones de seguridad, sostiene Smart. Por lo tanto, es clave que los CISOs se aseguren de que los líderes de alto nivel de una organización comprendan el valor de los programas y se involucren activamente en su promoción. "En una reciente reunión de todos los empleados, nuestro director general apoyó el programa y animó a los empleados a unirse, lo que contribuye a la cultura de seguridad accesible y proactiva que estamos cultivando", indica Smart.
Alexander Antukh, director de seguridad de Glovo y autor del Security Champions Playbook, se hace eco de sentimientos similares. "Si la dirección y la gestión del equipo no ven el valor del programa, es difícil dar prioridad a las actividades de seguridad, incluso para aquellos que realmente quieren contribuir. Hay diferentes maneras de conseguir el apoyo, pero se trata sobre todo de educar a la dirección sobre los temas y mostrar los beneficios de este enfoque", anota.
3. Dar prioridad a las habilidades de comunicación y a la diversidad a la hora de reclutar campeones de seguridad: Los defensores de la ciberseguridad son animadores de la seguridad más que expertos: amplían los mensajes de seguridad a nivel de equipo y actúan como la conciencia de seguridad de su departamento, manteniendo los ojos y los oídos abiertos a posibles problemas. Como tales, deben ser buenos comunicadores formados para entender mejor la ciberseguridad, y no al revés.
"Un campeón exitoso suele ser alguien que tiene buenas habilidades de comunicación e interpersonales que puede desarrollar con la orientación de seguridad", indica Barker. Lo ideal es reclutar campeones que sean personas influyentes en toda la organización, y esto no significa solo personas de alto nivel, añade. "Encontrará personas influyentes en todo tipo de funciones y puestos de su organización, y (basándose en los principios de la prueba social) serán más eficaces a la hora de ganarse los corazones, las mentes y los comportamientos de quienes les rodean".
Un buen punto de partida para la contratación de campeones es tener en cuenta a las personas que hacen muchas preguntas al equipo de seguridad, que participan activamente en la formación y la concienciación, y las que han estado implicadas en incidentes en el pasado.
4. Equilibrar los requisitos de compromiso, hacer que la formación sea pertinente y adecuada: Ser un campeón de la seguridad es voluntario, pero significa asumir responsabilidades fuera del trabajo diario de alguien. Los responsables de seguridad deben encontrar el equilibrio adecuado entre el compromiso y el rendimiento para proteger la longevidad del programa y el compromiso de los empleados, al tiempo que se aseguran de que la formación es adecuada para objetivos específicos y alcanzables. "Determina el nivel de compromiso que necesitan los participantes antes de empezar el programa, basándose en la frecuencia con la que se reúnen los campeones y en otras tareas que realizan", indica Grunden. "No quiere que la ciberseguridad esté sobrecargada, ya que naturalmente se reflejará negativamente en la comunicación y la concienciación, lo que anula el propósito del programa".
Smart, por ejemplo, pide a los campeones que asistan a reuniones mensuales relacionadas con la seguridad y que dediquen aproximadamente dos horas a la semana a aprender sobre seguridad, centrándose en temas relevantes, noticias y actualizaciones, como los ataques de inyección, la seguridad en la nube y la seguridad de un perfil de LinkedIn.
5. Incentive su programa de campeones de seguridad, hágalo divertido y mutuamente beneficioso: Los programas de campeones de seguridad deben ser tan atractivos y divertidos como informativos, indica Grunden. "Todo el mundo quiere creer y sentir que forma parte de algo significativo, positivo y con un propósito en el que las opiniones importan y se valoran. Por encima de todo, esta cultura debe ser divertida mediante la celebración de eventos especiales, eventos de creación de equipos y otras actividades desenfadadas para mantener a los campeones comprometidos y motivados".
Esto es algo que Smart garantiza en su programa, proporcionando a los campeones acceso a recompensas y beneficios exclusivos. "Tenemos actividades como nuestro club de discusión de películas/libros y una competición de captura de la bandera", añade.
Asimismo, Grunden recomienda celebrar una ceremonia de entrega de premios a los héroes anónimos para reconocer a los campeones y promover sus logros, además de permitir a los empleados mostrar una insignia de campeón de ciberseguridad en su perfil del directorio corporativo para que todos la vean.
Blythe coincide en la importancia de incentivar a los empleados para que inviertan su tiempo y esfuerzo. "Busque incentivos que se alineen con su cultura organizativa", sostiene. "Los incentivos pueden ser materiales (como dinero, vales o botines) y no materiales (como el reconocimiento social y los elogios). También hay que estar dispuesto a escuchar a los campeones y adaptar las políticas y campañas en función de sus comentarios, porque cuando se sienten valorados y escuchados, su programa de seguridad será más eficaz".
Basado en el artículo de Michael Hill (CSO) y editado por CIO Perú