La primera línea de defensa ante los ciberdelitos está en la cultura de la prevención

Las empresas que han sufrido delitos cibernéticos soportan además las críticas de sus propios trabajadores, que constatan las carencias en cultura de la prevención en la defensa ante ciberdelitos. Esta es una de las conclusiones del informe Inside Threat: Why Employee Behavior and Opinions Impact Cyber-Risk, elaborado por Willis Towers Watson.

Adeola Adele, Vicepresidenta Ejecutiva de Willis Finex Norteamérica, y Patrick Kulesa, del Centro de Investigación e Innovación de Willis Towers Watson, analizan el estudio en un artículo publicado en Willis Towers Watson Wire.

El estudio recoge más de 450.000 opiniones de empleados de múltiples empresas que han vivido muy de cerca ciberdelitos por el hecho de trabajar en organizaciones afectadas por esta lacra. Los datos de dichos empleados se compararon con las opiniones de los empleados de las unidades de tecnología informática (IT) de grandes compañías, constatando la importancia de la formación para prevenir los delitos cibernéticos.

Numerosos estudios sobre el ciberdelito en las organizaciones ponen el foco en el elemento humano, por ejemplo, en ex empleados que cometen dichos delitos por rencor a la que fuera su empresa. El estudio de Willis Towers Watson se propone ir más allá al plantear como objetivo responder a dos preguntas de gran calado: ¿cómo pueden las organizaciones hacer un seguimiento del ciberriesgo inherente a la conducta de sus empleados? ¿Cómo mitigar este factor de riesgo?

Adeola Adele y Patrick Kulesa destacan además en su artículo que los datos sugieren la necesidad de extender una cultura en pro de la prevención para evaluar y reducir al mínimo el riesgo cibernético. Todo ello a sabiendas de que el riesgo cero, también en el mundo de internet, no existe.

Formación inadecuada

De acuerdo con los resultados del estudio, los empleados de empresas que han sufrido ciberdelitos calificaron las áreas de formación de sus organizaciones con unas notas más bajas en comparación con las opiniones de los empleados de las demás empresas. Las preguntas sobre este tema incluyeron la opinión de los empleados sobre:

– si han recibido una formación adecuada para el trabajo que realizan

– y si tienen acceso a formación para mejorar sus habilidades y aprender otras nuevas de cara a avanzar en sus funciones y en el rol que ocupan en la organización.

Las respuestas de los empleados de unidades de IT o de empresas de ámbito puramente tecnológico que también han sufrido violación de datos, constatan esa deficiencia en formación. En este caso, apuntan a una formación escasa hacia los nuevos empleados, lo que convierte al nuevo personal en un punto débil y una posible fuente seria de la entrada ciberdelincuentes. ¿Cómo evitarlo? En primera instancia, entrenando de forma efectiva a los empleados en los procesos y procedimientos de seguridad cibernética.

Cultura como primera línea de defensa ante ciberdelitos

Para las organizaciones que se enfrentan al ciberriesgo, abordar la cultura de la prevención es el primer paso para crear un entorno que apoye una estrategia global e integrada. Después de todo, las organizaciones y sus líderes crean y refuerzan una cultura propia que influye en todos los empleados. Estos comportamientos, a su vez, pueden reducir la exposición al ciberriesgo o, por el contrario, maximizarla.

Inversión frente a ciberriesgo

Al evaluar la forma de asignar los recursos económicos para desarrollar un programa eficaz en seguridad cibernética, el estudio concluye que las organizaciones deben considerar dar prioridad a la inversión en formación de seguridad cibernética en todos los departamentos. Tal esfuerzo puede poner en riesgo otras partidas de asignación de recursos, pero una fuerza de trabajo formada en prevención de ciberdelitos puede ser crucial incluso para la viabilidad de la organización.

En definitiva, y en palabras de Adeola Adele y Patrick Kulesa, “las empresas deben pensar estratégicamente en sus políticas de recursos humanos y programas de compensación. Así podrán desarrollar una combinación de recompensas e incentivos que fomenten la cultura de apoyo a la seguridad cibernética”.