La cultura y el liderazgo en ciberseguridad, esenciales para proteger a las organizaciones guatemaltecas

 

Los errores humanos continúan siendo la principal causa de incidentes de seguridad, representando más del 60% de las brechas de datos reportadas en los últimos años según el DBIR 2025 de Verizon.

Entre los errores más frecuentes se encuentran el uso de contraseñas débiles, la descarga de archivos maliciosos y la pérdida de dispositivos que contienen información crítica. Ante este panorama, la cultura de ciberseguridad debe formar parte integral de la cultura empresarial guatemalteca, involucrando a todos los colaboradores sin importar su rol, nivel de liderazgo o tiempo dentro de la organización.

Perry Carpenter, estratega en el tema de Riesgo Humano, en su libro titulado The Secure Culture Playbook:  An Executive guide to reducing risk and developing your human defense layer; define la cultura de seguridad como “las ideas, las costumbres y los comportamientos sociales de un grupo que influyen en su seguridad”. Este enfoque busca establecer buenas prácticas que permitan a las organizaciones contar con un entorno más seguro y planificado, reduciendo las probabilidades de incidentes y la disminución de brechas de ciberseguridad derivadas de errores humanos.

​​De acuerdo con lo reportado en el informe del DBIR, el ciberataque denominado ransomware está presente en el 44% de las brechas a nivel global, con una media de pago cercana a US$ 115 mil. El estudio recogió datos regionales a través de organizaciones especializadas en ciberseguridad como SISAP, identificando 1,476 incidentes asociados a errores humanos, de los cuales 1,449 provocaron exposición de datos, siendo el 98% responsabilidad de personal interno. Esto evidencia que la inversión en tecnología, aunque necesaria, no es suficiente: el riesgo humano sigue siendo un factor crítico para las organizaciones guatemaltecas.

Gestión del riesgo humano: un enfoque integral

La tecnología adquirida no es suficiente para proteger a una organización, aunque la inversión en hardware y software es importante, existe un riesgo latente que poco se considera dentro de una estrategia de ciberseguridad:  el riesgo humano.  

La gestión del riesgo humano evoluciona, no se trata únicamente de una concientización activa y pruebas controladas para los usuarios; es un enfoque integral que administra los riesgos originados por el comportamiento, las decisiones y la interacción entre humanos. Debe reconocerse al humano como una vulnerabilidad potencial en el contexto de ciberseguridad extendiéndose a los riesgos operativos y por supuesto estratégicos.

Más allá de la concientización, la gestión del riesgo humano requiere un enfoque completo que incluya:

·       Políticas y procedimientos claros y conocidos por todos los colaboradores

·       Fomento de responsabilidad individual en la ciberseguridad

·       Monitoreo de comportamientos inusuales y potencialmente peligrosos

·       Control de acceso a los recursos según el nivel necesario de permisos y privilegios

·       Capacitación constante

Implementar una cultura de ciberseguridad centrada en el riesgo humano plantea retos importantes para las organizaciones. Entre ellos destacan la falta de recurso para programas continuos; la resistencia al cambio al recibir los nuevos lineamientos de ciberseguridad; las amenazas externas dependiendo del giro de negocio de la organización, que puede hacerlos un blanco más apetecible para los ciberdelincuentes; y lo más importante a resolver, la falta de compromiso de la dirección, que limita la adopción de medidas de seguridad por parte de los colaboradores.  

Los ejecutivos de alto nivel, por el acceso que poseen a información sensible requieren una formación más especializada que incluya la gestión de decisiones estratégicas, el conocimiento de planes de respuesta a incidentes y su rol en la comunicación interna y externa durante una brecha de datos. Solo con el liderazgo activo de la dirección es posible consolidar una estrategia sólida de ciberseguridad.

“Una premisa es segura, el fortalecimiento del factor humano puede reducir significativamente la exposición a los ciberataques y proteger los datos y activos más valiosos para la organización.  El compromiso de la dirección marca la diferencia al impulsar una cultura de ciberseguridad sólida y en constante evolución.   Esta madurez no solo brinda confianza a socios y clientes, sino que también se convierte en una ventaja competitiva que acelera el cumplimiento de las metas estratégicas y el crecimiento sostenible de la   organización.” afirmó Ingrid Delgado, Customer Education & Awareness Manager de SISAP.