Los líderes de seguridad deben fomentar una cultura en la que sus colegas hagan más que simplemente seguir las reglas, según un panel de CISO de Infosecurity Europe. Crear una cultura de seguridad implica algo más que simplemente animar a las personas de la empresa a informar incidentes, aunque esto sigue siendo importante. Los CISO también deben intentar crear entornos en los que la empresa busque activamente trabajar con equipos de seguridad. Esto, a su vez, significa explicar cómo la seguridad ayuda a todos en la empresa a alcanzar sus objetivos. «Para nosotros, el objetivo es que las personas sigan ciertos comportamientos, basándose en lo que saben y no en lo que les han dicho», dijo Toks Oladuti, CISO del bufete de abogados Dentons. «La gente hace más estos cambios de comportamiento si entiende por qué». En Dentons, Oladuti lleva a cabo periódicamente demostraciones prácticas en vivo de amenazas como ataques de phishing. Estos han demostrado ser populares, y es más probable que los colegas que han visto lo fácil que es un ataque –pero también lo fácil que puede ser contrarrestarlo– recuerden el consejo y actúen en consecuencia. En Aston Martin Lagonda, el CISO Robin Smith dijo que la colaboración es la clave para una mejor seguridad. En lugar de ver la seguridad como un grupo aislado, quiere que el negocio llegue a él antes en los proyectos. Smith también busca activamente comentarios y, si los comentarios resultan en cambios, se lo informará a la persona o al equipo que los proporcionó. También organiza proyectos de “garaje digital”, donde los colegas pueden desarrollar habilidades, como protegerse en línea. «Nos estamos asegurando de que la seguridad sea parte de la conciencia de la organización», dijo. En Dentons, Oladuti descubre que es más probable que los abogados se comprometan con la seguridad si ven que aporta beneficios directos a sus clientes, a la hora de conseguir nuevos negocios o a ellos mismos. “Si no ven el valor para ellos como abogado o como persona, hay resistencia”, admitió. «Tiene que ayudarlos con el trabajo de sus clientes, con el crecimiento del negocio o con su seguridad personal o la seguridad de su familia». Además, cualquier programa debe ser breve y relevante. Smith, de Aston Martin Lagonda, añadió que, en un negocio muy centrado en el diseño y la innovación, ya hay interés en nuevas tecnologías y desarrollos como la IA. “Impulsamos una agenda amplia sobre cómo lo cibernético puede agregar valor al proceso de diseño. Nos pondrá por delante de la competencia si podemos adoptar la IA realmente bien, como lo hemos hecho… debemos ser adaptables y tolerantes al riesgo si agrega valor al negocio”, explicó Smith. Lea más de Infosecurity Europe: #Infosec2024: Los expertos comparten cómo los CISO pueden gestionar el cambio como la única constante No obstante, no es fácil valorar una cultura segura frente a métricas financieras o de otro tipo. «Es muy difícil de medir», dijo Oladuti. “Me gusta entender el valor de lo que hago, pero la cultura es muy difícil de medir. Es muy cualitativo: gran parte tiene que ver con la participación que estamos obteniendo y que cada vez más personas informan. [incidents] para nosotros.» Ambos CISO coincidieron en que una cultura en la que los colegas puedan informar incidentes de seguridad, sin temor a ser castigados, es esencial para mantener y mejorar la seguridad.