En una era donde el 90% de las brechas de seguridad son causadas por el factor humano, la ciberseguridad se convierte en un desafío complejo que va más allá de las tecnologías. Por ello, en esta entrevista, Lorena Lesmes explica cómo las estrategias comunicativas pueden ser la clave para la seguridad en línea, desde la creación de una cultura de conciencia hasta la gestión de crisis.
¿Cuál es el rol de las comunicaciones en el contexto de la ciberseguridad?
Pensemos en una casa con una puerta blindada y ventanas a prueba de balas. Está bien protegida, ¿no? Pero si no le dices a tu familia cómo cerrar la puerta o bajar las persianas, la seguridad de la casa se verá comprometida. Lo mismo ocurre en el ámbito de la ciberseguridad: se puede contar con la tecnología más avanzada, pero si los miembros de la organización no comprenden su rol en la protección de los activos digitales, seguirá siendo vulnerable y la inversión no tendrá resultados. En definitiva, la información clara y precisa es un pilar fundamental de la ciberseguridad.
¿Puede una comunicación efectiva contribuir a fortalecer la ciberseguridad?
Se estima que para 2024, el 90% de las brechas de seguridad serán causadas por el factor humano. Ante este panorama, la comunicación efectiva se convierte en una herramienta esencial para informar y educar a los empleados sobre las ciberamenazas, las mejores prácticas de seguridad y el reporte de incidentes. Además, trae como beneficio la creación de una cultura de ciberseguridad, donde la responsabilidad recae en todos, no solo en el equipo de seguridad o TI.
¿Qué desafíos enfrentan las organizaciones en este área?
En general, uno de los principales desafíos es proporcionar conocimiento técnico a los empleados, pues la información de seguridad suele ser compleja y difícil de comprender para las personas que no son especialistas en el área. Los empleados se ven bombardeados por todo tipo de mensajes en sus casillas de correo, intranets, chats y redes sociales internas. Esto hace más difícil que presten atención a los mensajes relacionados con la seguridad.
Por naturaleza, las personas buscan beneficios personales antes de dar su atención a algún asunto. Si presentamos las buenas prácticas de ciberseguridad como un esfuerzo para proteger solamente los intereses de la organización, nos encontraremos con una falta de compromiso, especialmente cuando no hay un incidente inmediato. Entonces, la forma en que comunicamos lo que esperamos de los empleados impacta directamente en su comportamiento y motivación.
¿Qué rol tienen las estrategias de comunicación en la prevención y gestión de incidentes de ciberseguridad?
Las organizaciones con un plan de comunicación para incidentes de seguridad pueden reducir considerablemente el tiempo de reacción. La comunicación y la coordinación juegan un papel clave en la gestión de incidentes, desde la prevención hasta la recuperación, pasando por la detección y respuesta. En cada etapa cumple un objetivo distinto, como informar sobre la protección ante nuevas amenazas, su identificación y reporte. Además, facilitan la interacción entre los diferentes equipos durante un incidente y ayudan a la organización a restaurar sus operaciones y minimizar al máximo el impacto después del mismo.
¿Cuáles son las mejores prácticas de comunicación en una crisis de ciberseguridad?
Ante todo, la transparencia: ser honestos con los empleados y stakeholders sobre la naturaleza del incidente. También es importante mantenerlos informados constantemente sobre su evolución y las medidas que se están tomando, utilizando un lenguaje sencillo y evitando tecnicismos.
Además, es primordial ser empáticos y comprensivos con las preocupaciones de las personas afectadas por la crisis. Las organizaciones que se comunican de manera efectiva durante un compromiso de ciberseguridad pueden restaurar la confianza de sus clientes más rápido.
¿Qué consejos daría a las empresas para mejorar sus prácticas de comunicación en la ciberseguridad?
En primer lugar, desarrollar una estrategia de comunicación clara y concisa que defina previamente los objetivos de la comunicación, el público objetivo y los canales de comunicación más adecuados. Con esta información los mensajes tendrán más impacto en la organización.
De igual modo, hay que invertir en concientización y capacitación en materia de ciberseguridad para los empleados. Además de las comunicaciones, realizar los ejercicios y simulacros de incidentes de ciberseguridad periódicamente, para identificar y corregir las deficiencias de su estrategia.
Por último, mediante el esfuerzo en equipo y multidisciplinario, crear una cultura de seguridad proactiva basada en la comunicación abierta y transparente.
