La cultura de la seguridad no se entiende de la misma manera en toda Europa y en sus sectores de actividad. Si bien algunas organizaciones entienden que la cultura de seguridad es tanto un proceso como una medida estratégica, muchas aún no han decidido las tácticas para lograr este objetivo. Quienes han emprendido el proceso han tomado conciencia de la importancia de implementar ciertos comportamientos de seguridad para desarrollar una cultura de seguridad. Reconocen que en una cultura de seguridad proactiva, los empleados han comprendido que el comportamiento seguro no se limita a participar en simulaciones de phishing. Estos empleados están profundamente motivados y quieren participar en la estrategia de seguridad de su organización.
La cultura de seguridad se define como el conjunto de ideas, costumbres y comportamientos sociales que influyen en la seguridad de una organización y reducen el riesgo humano. En empresas con una buena cultura de seguridad, los empleados comparten proactivamente información sobre ciberseguridad, participan voluntariamente en capacitaciones y comprenden que la ciberseguridad es una prioridad para la empresa.
Sin embargo, existen niveles muy diferentes de madurez de la cultura de seguridad en toda Europa. Aunque los humanos siguen siendo el principal vector de ataque en todas las organizaciones, esta dimensión parece no haberse tenido suficientemente en cuenta, al igual que los ataques específicos que pueden tener como objetivo a individuos.
En la mayoría de los casos, las organizaciones europeas son conscientes de que deben integrar a las personas en su defensa para fortalecer su resiliencia. La concienciación sobre la seguridad ya no se considera un ejercicio rutinario destinado únicamente a cumplir los requisitos de cumplimiento y se considera cada vez más una iniciativa estratégica que fomenta una mentalidad de seguridad dentro de la organización. En organizaciones donde la ciberseguridad no se valora por su valor justo y no es objeto de colaboración entre diferentes departamentos, a los profesionales de la seguridad les resulta difícil ser escuchados.
Principales requisitos reglamentarios
La UE es una fuerza impulsora importante en la legislación y la regulación que determinan la evolución de la ciberseguridad en Europa. Tradicionalmente, las iniciativas legislativas apuntan a defender los derechos humanos fundamentales en una era marcada por avances tecnológicos muy rápidos. Al igual que otras regiones, la UE también ha tomado medidas para proteger a las empresas contra las amenazas a la ciberseguridad mediante la implementación de proyectos de asociación público-privada, complementados con regulaciones cada vez más estrictas en esta área. Estas iniciativas siguen siendo instrumentos poderosos para el avance de la ciberseguridad y la protección de datos en el mercado.
El RGPD ha tenido un impacto en todo el mundo. Vigente en toda la Unión Europea, ha inspirado regulaciones similares en otras regiones del mundo. El RGPD logra un equilibrio entre la recopilación y el procesamiento de datos al priorizar los intereses de las personas. También se aplican requisitos estrictos de ciberseguridad a través de regulaciones específicas del sector, como NIS2. Para octubre de 2024, las organizaciones que gestionan infraestructuras críticas deberán haber implementado esta directiva, que asigna la responsabilidad de la ciberseguridad a su junta directiva. Esta directiva también responsabiliza a las organizaciones de la seguridad de sus cadenas de suministro.
La Ley de Resiliencia Operacional Digital (DORA) entrará en vigor en enero de 2025. Requiere que las organizaciones demuestren qué tan rápido pueden recuperarse de un ciberataque y les exige que implementen capacitación para sus empleados.
De manera similar, la UE aplica un enfoque integral para regular el uso de la IA. En diciembre de 2023 se alcanzó un acuerdo provisional sobre la legislación de la UE sobre inteligencia artificial, pero no entrará en vigor hasta 2025. La legislación sobre IA establece un enfoque de la IA basado en el riesgo, con varias categorías correspondientes a riesgo inaceptable y alto riesgo. , riesgo limitado o riesgo mínimo. Las multas pueden ser colosales, equivalentes a 35 millones de euros o el 3% de los ingresos brutos (lo que sea mayor).
Si bien es relativamente rápido convertir nuevas regulaciones en políticas internas, una vez que se documentan, firman y difunden, las organizaciones se enfrentan a los desafíos de la gobernanza de la ciberseguridad. La gobernanza es vital para garantizar que las organizaciones y sus líderes alineen sus estrategias y objetivos de ciberseguridad, basándose en procesos estandarizados, una aplicación estricta, responsabilidades claras y supervisión por parte de los líderes superiores, así como proporcionando los recursos necesarios. Para fortalecer verdaderamente su estrategia de ciberseguridad, las organizaciones deben implementar una gobernanza integral. Si no se toman estas medidas, el cumplimiento seguirá siendo sólo un ejercicio de rutina.
Eventos de seguridad frecuentes
ENISA informa de un aumento en la calidad y el número de los ciberataques y sus consecuencias, un fuerte aumento de los ataques de ransomware en 2023, así como las influencias resultantes del clima geopolítico. Las tres amenazas principales fueron ransomware, malware e ingeniería social. El año 2023 también se caracterizó por una mayor profesionalización de las ofertas de ciberdelito como servicio, con una diversificación de tácticas y métodos para encontrar formas alternativas de infiltrarse en las víctimas y extorsionar. La ingeniería social ha crecido significativamente y el phishing sigue siendo el principal vector de ataque. Las agresiones físicas también han aumentado.
Como lo ha demostrado la guerra entre Rusia y Ucrania, la desinformación y la desinformación están una vez más en aumento. Debido a las próximas elecciones de 2024 y la llegada de herramientas de IA generativa, la cantidad y calidad de la desinformación seguirá representando una amenaza para la sociedad. La IA generativa también está allanando el camino para la falsificación deficiente y el phishing de voz, dos amenazas cada vez más comunes dirigidas a organizaciones privadas que se han utilizado para extorsionar fondos.
La cultura de seguridad varía según las regiones del mundo. Un enfoque aislado no es sostenible. Los gobiernos deben trabajar más estrechamente entre sí y con los organismos reguladores para desarrollar legislación, pero también para describir e integrar medidas concretas que se aplicarán para crear una cultura de seguridad sólida.
Por su parte, las organizaciones deben estudiar el desafío humano y no tratarlo como un problema tecnológico. A diferencia de las computadoras, aplicar una “solución” a los humanos no es sencillo y requiere un esfuerzo sostenido de concienciación y capacitación.