The internet is a revolutionary tool, facilitating business and even helping make personal and social interactions. The downside is that this revolutionary technology sometimes causes more problems than it solves. Compromises plague government agencies; data breaches expose billions of individuals’ personal information; and the cost of cybercrime is expected to balloon to $10.5 trillion by 2025.

Besides the clear evidence of the threat everyone is exposed to, many organizations and individuals don’t have a clear path to change the cybersecurity mindset. Here are a few recommendations for some different audiences:

Board of Directors

Although digital dependencies and cyber vulnerabilities have been identified as major risks for all global organizations, some boards are still unaware of these threats. Organizations should ensure that board members are provided with necessary information, including indicators about potential threats to the business, comparisons with peers and industries, and information about the return on investment (ROI) on cybersecurity. This data will provide strong support to cyber initiatives and facilitate future decision-making.

Governments

Top decision-makers are usually politicians -- elected officials in both the executive and legislative branches. The electorate will judge their actions, meaning cybersecurity should be positioned strategically according to the agendas. In developing budgets, politicians may ask why they should push for investing resources in cybersecurity rather than opening a new hospital or public school. Here it is relevant to highlight the benefits of security to foster the digital economy, protect civil society, and even improve the relationship with the private sector.

Small and Medium Enterprises (SMEs)

SMEs represent about 90% of businesses and more than 50% of employment worldwide. Nevertheless, these organizations are more frequent targets of attacks than larger companies as they don’t have the resources to secure their systems like larger organizations. Business owners need to realize that their investments are at risk and that cybersecurity should be a priority. SMEs also stand to gain the most from cloud computing because it is less complicated and costly for them to set up and traditionally run Information and Communications Technology (ICT). Countries such as Spain, the United Kingdom, and the United States, among others, have well-established programs that help SMEs access cybersecurity tools to protect their resources and investment.

Users

Humans can be the weakest link in the cybersecurity chain. It does not matter what technology is in place or how much you invest if an organization doesn’t have established basic cybersecurity training and education. Let’s face it, cybersecurity may not be easy, but that does not mean it needs to be boring or difficult to understand. Users and clients must be our most valuable partners in securing organizations. We should establish creative programs to get their interest and engagement in the cyber world.

These tips are a very high-level recommendation, and there also several other effective ways to approach these interest groups. Spoiler alert: it will not be an easy journey.

Belisario Contreras is Senior Director, Global Security & Technology Strategy at Venable LLP. The views expressed in this article are those of the author alone and not of his employer.

Cambiando la mentalidad de la ciberseguridad

La Internet es una herramienta revolucionaria, que facilita los negocios e incluso ayuda a realizar interacciones personales y sociales. La desventaja es que esta tecnología revolucionaria a veces causa más problemas de los que resuelve. Los compromisos plagan a las agencias gubernamentales, las filtraciones de datos exponen la información personal de miles de millones de personas y se espera que el costo del delito cibernético llegue a $ 10,5 trillones en el 2025.

Además de la clara evidencia de la amenaza, a la que todos estamos expuestos, muchas organizaciones e individuos no tienen un rumbo claro para cambiar la mentalidad de ciberseguridad. Aquí hay algunas recomendaciones para algunas diferentes audiencias:

Junta Directiva

Si bien las dependencias digitales y las vulnerabilidades cibernéticas se han identificado como riesgos importantes para todas las organizaciones globales, algunas juntas todavía desconocen estas amenazas. Las organizaciones deben asegurarse de que los miembros de la junta reciban la información necesaria, incluyendo indicadores sobre amenazas potenciales para el negocio, comparaciones con pares e industrias, así como información sobre el retorno de la inversión (ROI) en ciberseguridad. Estos datos proporcionarán un fuerte apoyo a las iniciativas cibernéticas y facilitarán la toma de decisiones en el futuro.

Gobiernos

Los máximos responsables de la toma de decisiones suelen ser políticos, funcionarios que han sido electos tanto en el poder ejecutivo como en el legislativo. El electorado juzgará sus acciones, por lo que la ciberseguridad debe posicionarse estratégicamente de acuerdo con las agendas. Al desarrollar presupuestos, los políticos pueden preguntarse por qué deberían presionar para invertir recursos en seguridad cibernética en lugar de abrir un nuevo hospital o escuela pública. Aquí es relevante resaltar los beneficios de la seguridad para fomentar la economía digital, proteger a la sociedad civil e incluso mejorar la relación con el sector privado.

Pequeñas y Medianas Empresas (PYMES)

Las pymes representan alrededor del 90% de las empresas y más del 50 % del empleo en todo el mundo. Sin embargo, estas organizaciones son objetivos de ataques más frecuentes que las empresas más grandes, ya que no tienen los recursos para proteger sus sistemas como las organizaciones más grandes. Los dueños de negocios deben darse cuenta de que sus inversiones están en riesgo y que la ciberseguridad debe ser una prioridad. Las pymes también pueden beneficiarse al máximo de la computación en la nube porque les resulta menos complicado y costoso configurar y ejecutar tradicionalmente las tecnologías de la información y las comunicaciones (TIC). Países como España, los Estados Unidos y el Reino Unido, entre otros, cuentan con programas consolidados que ayudan a las pymes a acceder a herramientas de ciberseguridad para proteger sus recursos e inversiones.

Usuarios

Los seres humanos pueden ser el eslabón más débil en la cadena de ciberseguridad. No importa qué tecnología esté implementada o cuánto se invierta, si una organización no ha establecido capacitación y educación básica en seguridad cibernética. Seamos realistas, la ciberseguridad puede que no sea fácil, pero eso no significa que deba ser aburrida o difícil de entender. Los usuarios y clientes deben ser nuestros aliados más valiosos para proteger a las organizaciones. Debemos establecer programas creativos para despertar su interés y participación en el mundo cibernético.

Estos consejos son una recomendación de muy alto nivel, y también existen otras formas efectivas de acercarse a estos grupos de interés. “Spoiler alert”: no será un trabajo fácil.

Belisario Contreras es Director Senior de Estrategia Global de Seguridad y Tecnología en Venable LLP. Las opiniones expresadas en este artículo son responsabilidad exclusiva del autor y no de su empleador.

 

Belisario Contreras

Read Next

Building PQC and Crypto Resiliency Across the Public and Private Sectors

A webinar that featured industry leaders from AT&T, the National Institute of Standards and Technology (NIST), InfoSec Global, The White House, and Venable LLP, focused on cryptographic resilience and post-quantum transition.‍

Securing the Future of AI: What’s Next?

The intersection of AI and security is a hot topic but we find that people haven’t spent time to understand what is truly new about cybersecurity, and where organizations need to bolster defenses as AI use cases promulgate.

NTIA Report Reveals Support for Open AI Models

The NTIA released a report examining the risks and benefits of dual-use foundation models with publicly available model weights, also examining the impact of openness on innovation and how to evaluate and quantify risk for these models.