Por qué los directivos son importantes para la ciberseguridad

Por Phil Muncaster • 10 Septiembre 2024

Los gerentes desempeñan un papel único en su organización: resuelven problemas, gestionan riesgos e interactúan entre la alta dirección y los empleados de base. Son los gerentes quienes convierten la estrategia en éxito operativo al monitorear, motivar y liderar a sus equipos. Y son los gerentes quienes también brindan información crítica a la cadena de mando si algo no está funcionando. Por lo tanto, debería ser motivo de preocupación que un estudio reciente del Chartered Management Institute (CMI) fundada La gran mayoría (85%) de los gerentes del Reino Unido están preocupados por el aumento de los niveles de amenazas cibernéticas.

Afortunadamente, los gerentes también pueden ser parte de la solución, ayudando a construir una cultura consciente de la ciberseguridad en su organización.

El Reino Unido no es seguro por diseño

La seguridad por diseño se considera cada vez más un imperativo estratégico en las organizaciones del sector público y privado. De hecho, es un enfoque defendido en corazón del gobierno y, de manera similar, promovido por Reguladores del RGPDEn un nivel alto, significa garantizar que cada práctica empresarial con un elemento de TI o digital tenga una ciberseguridad basada en riesgos incorporada desde el principio. Sin embargo, generalmente se requiere un gran cambio cultural y una mayor concienciación dentro de la organización para que funcione.

En la actualidad, el Reino Unido parece estar muy lejos de ser seguro por diseño. Encuesta sobre violaciones de la seguridad cibernética 2024 Destaca numerosos desafíos, además del hecho de que el 50% de las empresas (el 70% de las medianas y el 74% de las grandes) han sufrido una vulneración de seguridad en los últimos 12 meses. Entre las principales deficiencias que revela se encuentran:

Menos de un tercio (31%) de las empresas realizaron evaluaciones de riesgos cibernéticos durante el año pasado. Y solo un tercio (33%) implementaron monitoreo de seguridad.
Solo el 11% de las empresas revisan los riesgos de la cadena de suministro
Solo el 30% de las empresas tienen miembros de la junta directiva directamente responsables de la ciberseguridad como parte de su función, una cifra que no ha cambiado durante un año
Solo el 58% de las empresas medianas y el 66% de las grandes empresas cuentan con una estrategia formal de ciberseguridad
Sólo una quinta parte (22%) de las empresas tienen planes de respuesta a incidentes
Solo el 41% de las empresas buscan información u orientación sobre ciberseguridad fuera de la organización, cifra inferior a la de 2023 (49%)
Sólo uno de cada diez conoce el Centro Nacional de Seguridad Cibernética Guía de 10 pasos (% 13) y Cyber Essentials (12%)
Sólo el 18% de las empresas ofrecen formación al personal

En este contexto, tal vez no sea sorprendente que los directivos del Reino Unido estén preocupados por las amenazas cibernéticas. Después de todo, sus organizaciones parecen estar mal preparadas para lidiar con el creciente riesgo cibernético. Si bien es alentador que el 79 % afirma haber participado en programas de capacitación o concienciación sobre ciberseguridad en el último año, solo tres quintas partes (59 %) dicen que su empleador ofrece capacitación periódica en ciberseguridad para todos los empleados.

La clave para una organización más consciente de la seguridad

Sin embargo, los gerentes pueden desempeñar un papel fundamental para que las cosas vuelvan a su cauce correcto, afirma Ian Campbell, ingeniero senior de operaciones de seguridad en DomainTools.

“La dirección establece el tono y las prioridades del día a día, así como la delegación y el empoderamiento. Todo esto presenta grandes oportunidades culturales y técnicas para proteger la organización”, comenta a ISMS.online. “Los directivos y los ejecutivos marcan el tono; la dirección lo ejecuta desde el nivel básico. Eso posiciona a la dirección para afectar directa e inmediatamente la cultura de seguridad de primera línea”.

Como figuras de autoridad, los gerentes también pueden tener un impacto psicológico significativo en los empleados, lo que puede ayudar a construir una cultura de conciencia cibernética dentro de las organizaciones, argumenta Oz Alashe, CEO y fundador de CybSafe.

“Los gerentes ocupan una posición de autoridad dentro de la organización, lo que contribuye al sesgo de autoridad, un principio psicológico según el cual las personas tienen más probabilidades de seguir la guía de alguien que perciben como una figura de autoridad”, le dice a ISMS.online.

“Cuando los gerentes priorizan y modelan buenas prácticas de ciberseguridad, es más probable que los empleados sigan su ejemplo”.

Por lo tanto, debería ser preocupante que, si bien la conciencia de los gerentes sobre la ciberseguridad está mejorando (el 93 % afirma tener un conocimiento “intermedio” o “avanzado” de las prácticas de seguridad en línea), el 80 % cree que sus habilidades digitales aún necesitan mejorar.

Predicar con el ejemplo

Entonces, ¿qué pueden hacer las organizaciones para capacitar a sus gerentes para que impulsen una cultura de seguridad desde el diseño? El primer paso parece bastante obvio: asegurarse de que esos gerentes estén adecuadamente capacitados. Deben comprender los conceptos relacionados con la ciberseguridad y las mejores prácticas, como la concienciación sobre la ingeniería social, la necesidad de contraseñas seguras y la autenticación multifactor (MFA), y la importancia de aplicar parches. También deben tener los recursos, las herramientas, las políticas y los procesos a su disposición para difundir la concienciación y promover las mejores prácticas.

Parte de esto se reduce a predicar con el ejemplo, según Alashe.

“Los directivos están en una posición privilegiada para influir en el comportamiento, no solo a través de instrucciones directas, sino también a través de sus propias acciones. Cuando los directivos demuestran un buen comportamiento en materia de seguridad (como informar sobre correos electrónicos sospechosos de phishing), establecen un estándar que los demás deberían querer seguir”, explica.

“Además, los gerentes pueden aprovechar la prueba social, en la que las personas observan el comportamiento de quienes las rodean para guiar sus propias acciones. Al crear un entorno en el que el cumplimiento de las políticas de seguridad sea la norma y se practique de manera visible, los gerentes pueden ayudar a establecer una cultura en la que el comportamiento seguro sea la norma, en lugar de la excepción”.

Campbell, de DomainTools, está de acuerdo y sostiene que los gerentes deberían buscar crear una “cultura de confianza e investigación” donde se aliente al personal a denunciar eventos sospechosos y se lo elogie por hacerlo independientemente del resultado final.

“Combinar eso con incentivos para predicar con el ejemplo en materia de seguridad en lugar de simplemente predicar la concienciación como una obligación adicional sin fondos creará un programa de seguridad integral desde abajo hacia arriba”, añade. “Dar a los empleados la capacidad de prestar atención a los acontecimientos nuevos y cuestionarlos es un gran paso adelante”.

Los gerentes también deberían actuar como un “eje” entre la fuerza laboral, el soporte técnico y las operaciones de seguridad, añade.

“Son el 'supernodo' que puede (y necesita) pasar a TechOps y SecOps informes de problemas técnicos y fricciones en el flujo de trabajo, al mismo tiempo que pasan a sus informes el motivo de la fricción y cómo trabajar mejor dentro del sistema”, continúa Campbell. “Esta subred de comunicaciones es especialmente importante para medir y reducir la TI en la sombra, una de las mayores amenazas superficiales a las que se enfrenta cualquier organización”.

No es una tarea fácil, ni siquiera con directivos comprometidos y dinámicos. El cambio cultural puede ser un desafío y lleva tiempo. Fundamentalmente, debe comenzar con la confianza, lo que significa volver a los principios básicos de la gestión y construir y mantener relaciones de confianza con los miembros del equipo.

“Encuentre a las personas adecuadas, capacítelas y construya a partir de esa base”, concluye Campbell.

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 6 de enero de 2026

Cinco tendencias de seguridad y cumplimiento a tener en cuenta en 2026

¿Cómo podrían ser los próximos 12 meses para los profesionales de la ciberseguridad y el cumplimiento normativo? Hemos analizado las noticias y analizado las predicciones de la industria...

Phil Muncaster

La seguridad cibernética 11 December 2025

¿Es inevitable una brecha de seguridad de inteligencia artificial en 2026?

¿Es inevitable una vulneración de seguridad de la IA agente en 2026?

Puede que hayan pasado tres años desde que el lanzamiento de ChatGPT desencadenó una nueva carrera tecnológica, pero ahora todas las miradas están puestas en la IA agentica. Sus promotores afirman que...

Phil Muncaster

Seguridad de la información 9 December 2025

Un año en cumplimiento: cinco cosas que aprendimos en 2025

Un año de cumplimiento normativo: cinco cosas que aprendimos en 2025

Los últimos 12 meses han demostrado una vez más que el panorama de la ciberseguridad suele estar plagado de incidentes. Las brechas de seguridad importantes cuestan a las organizaciones...

Phil Muncaster