seguridad para ayudarles a comprender el papel que desempeñan en el mantenimiento de la seguridad de las redes y en la reducción del riesgo de amenazas internas. Crear una cultura de seguridad Considerando que los empleados pueden ser la mejor línea de defensa, es crucial que los CISO pro- tejan sus organizaciones incluyendo la formación y la concienciación de los empleados en su estrategia de ciberseguridad. Al adoptar esta técnica, podrán asegu- rar que la fuerza laboral está preparada para enfrentar las diversas amenazas. Independientemente de su cargo o función, todos los empleados deben comprender las repercu- siones de un evento de seguridad y cómo podría afectar a la organización y a ellos personalmente. La importancia de este enfoque estratégico en toda la empresa se puso de relieve en una encuesta rea- lizada por Forbes Insights en 2019 a más de 200 CISO. Cuando se les preguntó qué iniciativas de seguridad tenían previstas priorizar en términos de financiación durante los próximos cinco años, el 16% de los encuestados señaló la creación de una cultura de seguridad. Este es un paso en la dirección correcta, si bien una buena ciberhigiene comienza porque los CISO ayuden a sus empleados a tomar en serio la ciberseguridad. Esto se puede lograr de las siguientes maneras: Priorizar la ciberconciencia Los ataques de ingeniería social son muy frecuen- tes en las organizaciones porque suelen tener éxito. De hecho, el Informe de Investigación de Brechas de Datos (DBIR) de Verizon de 2019 desveló que aproximadamente un tercio de todas las brechas involucraban el phishing de una manera u otra. Para combatir este riesgo, los CISO deben formar a sus empleados acerca de los ataques comunes que podrían aparecer en forma de phishing, spear phis- hing, smishing u otras estafas de soporte técnico. La comprensión de estas amenazas y de sus líneas rojas asociadas será fundamental para ayudar a los emplea- dos a evitar ser víctimas de un correo electrónico falso o de sitios web maliciosos. Además de enseñar los indicadores comunes de las ciberestafas, esta formación también debería incluir ejercicios de simulación de phishing diseñados para poner a prueba los conocimientos y determinar qué empleados podrían necesitar más ayuda. Mediante estas tácticas los empleados estarán mejor prepara- dos para saber cuándo son el blanco de un ataque de ingeniería social y podrán, por lo tanto, actuar en con- secuencia. El Instituto de Formación NSE de Fortinet ofrece un servicio de formación gratuito sobre ciber- seguridad para enseñar a los empleados los crecientes riesgos de los ciberataques y aprendan cómo identifi- car las amenazas. 47 Crear una asociación entre el equipo de seguridad y otros departamentos El peso de la ciberseguridad no puede recaer única- mente sobre los hombros de los equipos de seguridad y TI, sobre todo porque las ciberamenazas son cada vez más sofisticadas y difíciles de detectar. Además de garantizar que los empleados puedan identificar los ataques de phishing, los responsables de TI también deben fomentar la colaboración con otros departa- mentos. Si bien el equipo de seguridad será el experto en términos de determinar el riesgo y las amenazas, otros departamentos serán críticos para ayudar a desarrollar políticas fáciles de seguir tanto en la oficina como en entornos de trabajo remotos, incluso para aquellos que no son totalmente digitales. Gracias a los esfuerzos de colaboración, los CISO pueden garantizar que todas las personas de la organi- zación no solo conozcan las políticas de seguridad sino que también comprendan el impacto que sus acciones pueden tener en la organización en su conjunto. Ayudar a los empleados a comprender las prácticas de ciberse- guridad y las consecuencias que sus acciones pueden tener debería conducir a mejoras en la forma en que estos individuos responden cuando se enfrentan a un email o sitio web sospechoso, incluso cuando trabajan desde casa. Cuando los empleados saben lo que se espera de ellos y se sienten parte del equipo, son más proclives a aplicar las mejores prácticas y a eliminar las conductas que causan problemas internos accidentales, como olvidarse de cambiar las contraseñas o no usar contraseñas seguras. A medida que más empleados se sumen, el firewall humano que actúa como primera línea de defensa de la organización se hará más fuerte. CIBERSEGURIDAD