Luego de dos décadas de desarrollar arquitecturas de seguridad cada vez más maduras, las organizaciones se enfrentan a una verdad dura: las herramientas y las tecnologías por sí solas no son suficientes para mitigar el aventura cibernético. A medida que las pilas tecnológicas se han vuelto más sofisticadas y capaces, los atacantes han cambiado su enfoque. Ya no se centran solo en las vulnerabilidades de infraestructura. En cambio, están explotando cada vez más el comportamiento humano. En la mayoría de las infracciones modernas, el vector de ataque auténtico no es una explotación de tecnología de día cero. Está explotando vulnerabilidades en las personas.
Los datos están perfectamente documentados. Durante cinco primaveras consecutivos, el documentación de Investigaciones de violaciones de datos de Verizon ha demostrado que el aventura humano representa el veterano impulsor de las violaciones a nivel mundial. La última traducción del documentación encontró que casi el 60% de todas las violaciones en 2024 involucraban un dato humano. Sin incautación, en ese contexto, es importante chocar una idea errónea global. La frase «Las personas son el vínculo más débil» implica que los empleados tienen la desliz cuando surgen violaciones. En la mayoría de los casos, ese no es el problema. Los usuarios no fallan en seguridad, su entorno de seguridad les está fallando. Con demasiada frecuencia, la seguridad se hace innecesariamente compleja. Los conceptos se comunican en un jerga técnico confuso y abrumador, mientras que las políticas están diseñadas para auditores y abogados, no para el empleado promedio.
A su vez, mitigar efectivamente el aventura humano no es una cuestión de más prohijamiento de tecnología o aplicación de políticas. Se comercio de cultivar una válido civilización de seguridad organizacional que simplifica y apoya el comportamiento humano seguro. Hasta que la civilización de seguridad sea tratada con la misma priorización e inversión que su tecnología de seguridad, el aventura humano continuará socavando incluso los programas técnicos mejor diseñados.
Definición de la civilización de seguridad
Cada ordenamiento ya tiene una civilización de seguridad en su oportunidad. La pregunta secreto es si es la civilización de seguridad que efectivamente desean.
La civilización de seguridad, por definición, son las percepciones, creencias y actitudes compartidas sobre la ciberseguridad en toda la ordenamiento. ¿La clan cree que la seguridad es importante? ¿Se sienten responsables? ¿Se ven a sí mismos como un objetivo? Cuando esa estructura de creencias es válido, sigue el comportamiento. Pero cuando errata, como cuando la seguridad se considera el trabajo de otra persona o un obstáculo para la productividad, su valor de aventura crece exponencialmente.
El problema no es que a las personas no les coste proteger su ordenamiento. Es que la seguridad no está incrustada en cómo funcionan, sino que se colocó en capas en la parte superior, ya que se dilación que naveguen. Si queremos que las personas se comporten de forma segura, necesitamos crear condiciones que respalden esos comportamientos. Los empleados ajustan su comportamiento en función de lo que el medio circunstancia remuneración, permite y dilación. La seguridad no es diferente. Para robustecer la civilización de seguridad, el enfoque debe estar en diseñar un entorno diario que diga las percepciones y decisiones de las personas.
En la praxis, esto significa evaluar los cuatro impulsores más grandes de su civilización de seguridad: señales de liderazgo, décimo del equipo de seguridad, diseño de políticas y capacitación en seguridad.
- Señales de liderazgo: La civilización comienza en la cima. Si los líderes tratan la seguridad como una prioridad al presupuestarla, vincularla a bonificaciones o elevar el CISO en el croquis de Org, envía un mensaje claro. Si no lo hacen, ninguna cantidad de servicio de labios cambiará esa percepción.
- Compromiso del equipo de seguridad: No son solo los ejecutivos que dan forma a la civilización. La experiencia cotidiana que las personas tienen con seguridad a menudo depende del equipo de seguridad en sí. ¿El equipo de seguridad es útil o hostil? ¿Son claros o confusos? ¿Son habilitadores o bloqueadores? Todo eso importa.
- Diseño de políticas: Las políticas son un punto de interacción constante. Si son demasiado técnicos, difíciles de seguir o llenos de fricción, erosionan la confianza. Si son simples e intuitivos, refuerzan la idea de que la seguridad se puede alcanzar.
- Capacitación de seguridad: Esta es a menudo la parte más visible de un software, pero asimismo la más mal entendida. Si su entrenamiento es monótono, anticuado o irrelevante, señala que la seguridad efectivamente no importa. Cuando participa y aplicable, crea una creencia que impulsa el comportamiento.
Estas cuatro áreas asimismo proporcionan un ámbito para determinar su civilización. Pregunte a sus empleados qué piensan y sienten sobre el liderazgo, el equipo de seguridad, las políticas y la capacitación. Sus respuestas le dirán si su civilización está funcionando para usted o en su contra.
Alinear las cuatro palancas de la civilización de seguridad
El apoyo ejecutor puede establecer la pauta, pero la civilización de seguridad se define por lo que los empleados encuentran día a día. Si esas experiencias vividas son inconsistentes con el mensaje del liderazgo, la creencia se descompone. La clan puede escuchar que la seguridad es una prioridad, pero si las políticas no están claras, la capacitación se siente desconectada o los equipos de seguridad son rígidos e inaccesibles, la confianza se erosiona rápidamente.
Es por eso que la formación en las cuatro palancas culturales (liderazgo, compromiso del equipo de seguridad, política y capacitación es esencial. Cuando el liderazgo prioriza visiblemente la seguridad, a través de los fortuna y la responsabilidad, señala la importancia estratégica. Pero ese mensaje debe ser reforzado por cómo el equipo de seguridad interactúa con la fuerza profesional. Si los empleados se sienten castigados por errores o paredes cuando solicitan apoyo, están menos inclinados a ser participantes activos en la defensa de la ordenamiento.
El diseño de políticas juega un papel igualmente importante. Cuando las políticas sean largas, técnicas o poco prácticas, los empleados no serán conveniencia incluso si introduce riesgos. Una maestro más simple e intuitiva hace que sea más comprensible comportarse de forma segura sin detener los resultados comerciales. El mismo principio se aplica a la capacitación. Si está desactualizado o genérico, se convierte en un adiestramiento de demostración. Pero cuando es relevante y específico de roles, ayuda a acrecentar que la seguridad es parte del trabajo, no un complemento para él.
¿Dinámico para poner en funcionamiento su civilización de seguridad?
Únete a mí este otoño en Sin orlando otoño 2025donde estaré enseñando el recién actualizado LDR521: Civilización de seguridad para líderes. Este curso ofrece un ámbito paso a paso para evaluar su civilización contemporáneo, identificar las mejores oportunidades de cambio y construir un entorno donde el comportamiento seguro sea la norma. Se irá con herramientas prácticas, estudios de casos del mundo existente y un vademécum de jugadas dinámico para el liderazgo que pueda sobrellevar a su equipo.
Regístrese para Sans Orlando Fall 2025 aquí.
Nota: Este artículo fue aportado por Suerte Spitzner, instructor senior del Sans Institute. Obtenga más información sobre sus referencias y experiencia aquí.
