Uno de los aspectos más importantes del código ético de una organización es el uso responsable de los medios tecnológicos puestos a disposición de los empleados
JUANJO GALÁN, ALL4SEC
Índice de temas
La concienciación en ciberseguridad a través del código ético empresarial
Los códigos éticos forman parte de nuestra vida personal y profesional. Los aplicamos en todas y cada una de las decisiones que habitualmente tomamos. Se trata de normas de actuación, asumidas o autoimpuestas, frente a las circunstancias que nos rodean.
Los códigos éticos en el sector de la ciberseguridad no son una excepción. Palabras como legalidad, integridad, confidencialidad, respeto, disponibilidad, responsabilidad o cooperación son habituales a la hora de definir los códigos éticos que definen y aplican todas las compañías.
Concienciación en ciberseguridad y código ético empresarial
Luego hay otra palabra —también muy importante— que a menudo pasa desapercibida: concienciación. Un término sencillo de entender y que en ocasiones es difícil de aplicar.
La concienciación en ciberseguridad es ciertamente una necesidad y el ejemplo del código ético empresarial es un excelente punto de partida.
Toda compañía tiene un código ético que aplica a sus relaciones profesionales. Se trata de un conjunto de principios y pautas de conducta dirigidos a garantizar el comportamiento ético y responsable de todos los empleados en el desarrollo de sus actividades profesionales.
A través de ellos, la compañía marca los principios que guían su misión y su visión dentro del negocio que desarrolla. Se trata de conceptos básicos, pero fundamentales para entender las relaciones éticas profesionales.
Una persona poco concienciada en las normas de uso responsable de la información, de las relaciones profesionales o en el empleo de la tecnología, puede llevar a su entorno, incluso a sí mismo, a serios problemas.
Al lector no le no resultará difícil imaginar situaciones en las que la falta de concienciación en ciberseguridad ha llevado a cometer errores como la divulgación de contraseñas, el envío de información personal de carácter confidencial, la modificación de imágenes con objetivos espurios o la pérdida de control sobre el uso de equipos o aplicaciones software.
Medios tecnológicos y sensibilización en su uso
Uno de los aspectos más importantes del código ético de una organización es el uso responsable de los medios tecnológicos puestos a disposición de los empleados.
Terminales móviles, ordenadores y demás equipos de uso profesional forman parte de esos medios. Se trata de activos cuya utilización debe circunscribirse a las funciones que profesionalmente tienen encomendadas.
Descargar software de lugares no autorizados, conexiones desde redes inseguras o relajar la atención o control sobre quién accede a los equipos son ejemplos de malas praxis que normalmente van en contra de lo que sería el código ético de una compañía preocupada por la ciberseguridad.
Asimismo, la formación de los empleados y la actualización de conocimientos en ciberseguridad es otra de las máximas que debe cumplir una empresa dentro de su código ético.
Entender la importancia que la ciberseguridad alcanza en la empresa y formar a los empleados para que asuman la verdadera criticidad de sus funciones resulta fundamental. Ello incluye la comprensión y asunción de cada una de las normas definidas, ya que, de no ser así, los códigos de éticos corren el riesgo de convertirse en normas impuestas a la fuerza que puedan conducir a la insatisfacción y redundar en riesgos por reacciones inesperadas de empleados descontentos.
Objetividad en las acciones y protección de la información
Otra característica que también se recoge en los códigos éticos y que afecta a la ciberseguridad es la objetividad. Cualquier amenaza que pueda poner en tela de juicio esa objetividad ha de ser eliminada si no se quiere correr el riesgo de actuar de manera inadecuada.
Los conflictos de intereses son un buen ejemplo de esta circunstancia.
El spam, el phishing, el soborno, o la suplantación de la identidad son recursos habituales utilizados por los ciberdelincuentes para generar esos conflictos de intereses y así explotar las debilidades que traen consigo.
En una línea paralela se mueve la protección de la información y de los datos personales. La confidencialidad de la información —de acuerdo con el grado de clasificación que tenga asignado— es una regla de aplicación indispensable; y más aún cuando se trata de gestionar información crítica o incluso que afecta a terceras partes.
Por ejemplo, saber diferenciar los riesgos que tiene el uso de la información puede prevenir problemas causados por ataques de ransomware o fugas de información.
Cooperación y denuncia: un compromiso colectivo
Por último, la denuncia de actividades ilícitas o acciones poco éticas contribuye al sentido de la colaboración. El compromiso de los empleados con los principios éticos a través de la cooperación permite que estas acciones sean detectadas y puedan ser perseguidas —y en su caso sancionadas. En general, la cooperación es una buena práctica en la lucha contra la ciberdelincuencia.
Una invitación a la lectura del código ético empresarial
Solo hemos mencionado algunos de los aspectos que suelen recogerse en los códigos éticos definidos por una compañía. Sin embargo, existen otros elementos que no dejan de ser también importantes como la conciliación laboral, el impuso de la libre competencia o el compromiso con el entorno — ya sea medioambiental, de derechos humanos o de responsabilidad social, por poner algunos ejemplos. Todos ellos tienen sus implicaciones en la concienciación con la ciberseguridad.
Al fin y al cabo, la idea global es que el código ético actúa a modo de conciencia colectiva, contribuyendo al servicio que presta la compañía o a la calidad del empleo que ofrece; incluso para la conservación de recursos naturales o la lucha contra la discriminación.
En definitiva, una lectura reposada del código ético de su compañía seguramente le proporcionará una referencia para avanzar en un ámbito, como la ciberseguridad, que puede resultarle desconocido. Léalo con detenimiento y analice sus implicaciones. Seguro que descubrirá que es un excelente punto de partida.