Un puntaje de cultura de ciberseguridad

La Interconexión Dinámica de la Cultura entre las personas y sus organizaciones en el modelo BMIS es una de las áreas más ignoradas en la ciberseguridad moderna, en comparación con las áreas de tecnología y procesos relativamente más maduras.

Sería de gran ayuda para las organizaciones que tienen la cultura en sus puntos ciegos si las organizaciones de terceros ofrecieran evaluaciones de la cultura de sus equipos y dirigentes en lo que respecta a la seguridad de la información. Esto sería análogo a las organizaciones que invitan a un tercero a realizar auditorías, evaluaciones de riesgos o ejercicios de prueba de penetración.

• Se podría pensar que las evaluaciones de la cultura y la competencia de los equipos y los dirigentes en lo que respecta a la seguridad cibernética se realizan mejor internamente, idealmente como parte de las evaluaciones del rendimiento. Sin embargo, alguien ajeno a la organización puede evaluar los equipos y el personal directivo de manera más objetiva por su adecuación cultural y su motivación para apoyar el programa de seguridad cibernética libre de prejuicios y alianzas internas.

Errores culturales

• Los signos de una cultura disfuncional pueden no aparecer en las evaluaciones normales de seguridad, pero pueden tener consecuencias importantes para una empresa. Un parche crítico que tarda seis meses en aplicarse, lo que da lugar a una violación de los datos, podría estar relacionado con la crítica anterior del personal por parte de los directivos superiores la última vez que aplicaron un parche y causaron una perturbación menor.
• Un administrador de la red que sigue con renuencia las órdenes de su poderoso superior, es decir, el fundador de la empresa, de falsificar los resultados de las pruebas de recuperación en caso de desastre podría indicar una cultura reacia a desafiar a la autoridad.
• Geert Hofstede, un psicólogo social holandés, formuló el concepto de «índice de distancia de poder» para medir el nivel de deferencia que las personas de nivel inferior muestran a sus superiores. Las culturas, ya sean organizaciones o nacionalidades, con menores distancias de poder exhiben niveles más altos de individualidad, lo que significa que es más probable que las personas cuestionen a sus superiores y señalen errores.

La gestión de los recursos de la tripulación (CRM) es un ejemplo de la reacción de una industria a la cultura que desempeña un papel en los desastres de los aviones. Jane Ford, Robert Henderson y David O’Hare encontraron que la actitud de las azafatas hacia la seguridad mejoró significativamente después de la capacitación en CRM.

Antes de que las organizaciones puedan llegar a una versión de una respuesta similar a la de CRM sobre el efecto de la cultura en la seguridad de la información, necesitan una forma de medirla y compararla con la industria en general.

Puntuación de la cultura

Las organizaciones terceras que evalúan la seguridad cibernética podrían añadir un servicio más a su lista de ofertas, organizando evaluaciones cualitativas y cuantitativas de la cultura de una organización en lo que respecta a la seguridad cibernética. Chalene Yauch y Harold Steudel compararon y contrastaron los enfoques en su documento titulado Uso complementario de métodos de evaluación cultural cualitativos y cuantitativos; además, recomendaron un enfoque de métodos mixtos de técnicas cualitativas y cuantitativas. La evaluación cualitativa de la cultura adoptaría la forma de exámenes de documentos, observaciones de los participantes y entrevistas en grupo.

• Además, una evaluación cultural cuantitativa podría utilizar algo como el Inventario de Cultura Organizacional (OCI) (Cooke & Lafferty, 1987), que es un instrumento de evaluación cultural de The Human Synergistics/Center for Applied Research que se diseñó para proporcionar una instantánea de la cultura de una organización mediante la medición de 12 conjuntos de normas de comportamiento. La principal ventaja del enfoque cualitativo de la evaluación cultural es la capacidad de sondear los valores, creencias y supuestos subyacentes, pero puede llevar mucho tiempo.
• El enfoque cuantitativo (de sondeo) ofrece datos numéricos que pueden servir como una puntuación de la cultura, que puede constituir la base de las comparaciones entre organizaciones o grupos. A primera vista, parece difícil medir la cultura organizacional, especialmente para las personas ajenas a la organización, pero Geert Hofstede y otros (AÑO), en su documento titulado «Measuring Organizational Cultures: A Qualitative and Quantitative Study across Twenty Cases», demostraron que existen técnicas que pueden hacer que un campo complicado, como la cultura, sea al menos algo accesible.

El servidor sin parches, la recomendación de autenticación multifactorial ignorada y el sistema de respaldo y recuperación con un secreto, todos tienen una historia que contar sobre los errores cometidos internamente que tienen más que ver con la cultura que con el proceso o la tecnología.

Las organizaciones pequeñas y medianas no suelen disponer de recursos para invertir en las técnicas necesarias para la evaluación cultural de una organización. Una puntuación cultural que pueda compararse con organizaciones similares de tamaño parecido en industrias similares podría proporcionarse como parte de un servicio ofrecido por una entidad tercera.

Esa puntuación proporcionaría un arma más en el arsenal del oficial de seguridad de la información para hacer frente a los problemas de seguridad cibernética dentro de una organización.