Red Seguridad 106

112 red seguridad tercer trimestre 2024 opinión sa de los comportamientos ciberseguros y esponsorización; es decir, el patrocinio continuo de la agenda de seguridad y de las iniciativas prioritarias. Desde una perspectiva más global, se podría decir que este tipo de iniciativas formativas y de sensibilización permiten construir conocimiento, impulsar la ac- ción, inculcar hábitos seguros y centrar las comunicaciones en las personas, situándolas en la primera línea de de- fensa. Entre otras utilidades, ayudan a reforzar los comportamientos de los pro- fesionales con recordatorios periódicos y avisos basados en pruebas y a expan- dir la cultura de ciberseguridad a toda la estructura organizacional a través de los llamados “programas de embajadores”, uno de los mejores canales para atraer a un público más amplio por medio de blogs, webcast o gamificaciones. Liderazgo y ciberseguridad La ciberseguridad no puede limitarse al departamento de TI, sino que debe ser parte fundamental de la estrategia em- presarial y gestionarse al más alto nivel. La alta dirección ha de estar preparada para enfrentar ciberincidentes, liderando con eficiencia en momentos críticos y asegurando la continuidad del negocio mediante políticas, estrategias y recursos adecuados. Además, los directivos, que tienen acceso a información sensible y poder de decisión, son blancos priorita- rios para ataques de ingeniería social, por lo que deben recibir formación específica para identificar amenazas como DDoS (ataque de denegación de servicio dis- tribuido), ransomware y phishing y estar al tanto de las normativas regulatorias en torno a la seguridad de la información. Es crucial que los líderes empresaria- les participen en programas de capaci- tación personalizados y experienciales que les enseñen a integrar la cibersegu- ridad en su rol cotidiano. Unos progra- mas que deben ajustarse a las necesi- dades y responsabilidades de cada área directiva, abordando las amenazas y tendencias más recientes. Simulacros y planes de crisis Como parte de la estrategia de continui- dad de negocio, es vital que las organi- zaciones se preparen para enfrentarse a incidentes de seguridad con alto impacto. Esta preparación debe incluir programas de gestión de crisis que contemplen simu- lacros regulares, planes de contingencia y protocolos de actuación estructurados, junto con la creación de un comité de cri- sis que sea capaz de liderar de manera global en el “momento de la verdad” en caso de producirse un evento disruptivo. Los simulacros de cibercrisis, como ci- berejercicios o retos gamificados, permi- ten a los equipos de respuesta y comités de crisis practicar sus procedimientos en entornos simulados y realistas, for- taleciendo la toma de decisiones y la coordinación interna. Estos ejercicios son cada vez más variados, integrando desde cyber range hasta escape rooms y formación online . Dado que una crisis requiere una gestión transversal, son muchos los ele- mentos a ser coordinados. Además, si a la complejidad de la respuesta por la alta casuística de escenarios disruptivos le unimos la importancia actuar con la mayor celeridad posible para minimizar impactos, no queda duda de lo necesa- rio que es el entrenamiento frente a si- tuaciones de crisis. Si bien es cierto que no se puede entrenar todo, también lo es que hay que evitar la improvisación en la medida de lo posible porque, al fin y al cabo, las crisis son gestionadas por per- sonas, quienes deben tomar decisiones bajo mucha presión. Resumiendo, la ciberseguridad es un tema crítico que va más allá de la tecnología y debe integrarse en todos los aspectos de una organización. Las empresas han de invertir en soluciones tecnológicas, en la formación continua de su talento y en la preparación para gestionar incidentes. Los líderes empre- sariales tienen la responsabilidad de guiar este proceso, asegurando que se implementen políticas y estrategias ade- cuadas para proteger a la organización y garantizar su resiliencia ante las amena- zas cibernéticas. Además, la formación y concienciación deben estar presentes en todos los niveles de la organización, comenzando por la alta dirección, para construir una defensa integral y eficaz. En definitiva, los programas integrales de formación y sensibilización, bien co- hesionados y con cobertura a todos los niveles de la organización, son el mejor antídoto frente a las ciberamenazas que nos acechan cada día.