Atrás quedan los tiempos en los que la seguridad era cosa de unos pocos en las empresas: o bien era «algo» que se concentraba en una compañía externa o quizá en el personal de mantenimiento −en los casos de la seguridad física−; o bien en el departamento de TI, si hablamos del plano tecnológico.
Las cosas han cambiado, como lo han hecho los riesgos y amenazas a las que están expuestas las organizaciones. Ahora, la seguridad es una cuestión de todos, especialmente si se trata de ciberseguridad. Solo los correos electrónicos de phishing son responsables del 94 por ciento del ransomware y de generar pérdidas que rondan los 132.000 dólares por incidente en los casos de Business Email Compromise, según datos de Trend Micro.
Cualquier empresa puede implantar el mejor firewall o software antivirus. Sin embargo, la mayoría de las organizaciones carecen de programas adecuados de concienciación sobre infoseguridad para sus usuarios. Un solo empleado descuidado puede causar enormes daños a toda la compañía.
Por tanto, todos los miembros de una organización, ya sea pública o privada, deben conocer sus políticas de seguridad y colaborar para mantenerla por el bien de la entidad, pues una empresa es tan fuerte como lo es el eslabón más débil de su cadena, y éste generalmente suele ser el usuario. Cualquier persona que tenga acceso a los recursos de TI de una entidad ha de contar con unos conocimientos mínimos de seguridad. Es aquí donde entran en juego la formación, la educación y la concienciación en (ciber)seguridad.
Más vale prevenir que curar
Pero ¿por qué es tan importante esta concienciación? Antes de nada, dejemos claro qué se entiende por formación y concienciación en ciberseguridad. Cuando hablamos de estos conceptos, podríamos definirlos como un conjunto de medidas y prácticas con el objetivo de que los usuarios conozcan y apliquen una serie de iniciativas para ayudar a garantizar la seguridad de una organización.
De unos años a esta parte, la concienciación en ciberseguridad se ha vuelto fundamental debido al creciente panorama de amenazas digitales y la dependencia cada vez mayor de la tecnología tanto en el terreno personal como en el profesional.
Son diversos los motivos que explican el porqué de esa importancia. Entre ellos podemos citar los siguientes:
- La protección de datos personales. Con el aumento del robo de identidad y las brechas de datos, es esencial que las personas conozcan las mejores prácticas para proteger su información personal. Fomentar la concienciación en seguridad ayuda a que los usuarios comprendan mejor cómo proteger sus datos confidenciales.
- Prevención del cibercrimen. Los cibercriminales están constantemente desarrollando nuevas técnicas para infiltrarse en sistemas y redes. La concienciación en ciberseguridad ayuda a las personas a reconocer los diversos tipos de ciberataques, como el phishing, el malware y el ransomware. Al estar alerta y entender cómo funcionan estos ataques, las personas pueden tomar medidas proactivas para evitar convertirse en víctimas.
- Protección de la reputación online. En la era digital, la reputación online es valiosa tanto para individuos como para empresas. La concienciación en ciberseguridad ayuda a comprender cómo proteger dicha reputación online, evitando compartir información sensible o comprometedora y manteniendo un comportamiento responsable en la Red.
- Seguridad en el lugar de trabajo. En un entorno empresarial, la concienciación en ciberseguridad es esencial para proteger los activos digitales de la organización y evitar posibles brechas de seguridad. Los empleados deben estar informados sobre las políticas de seguridad de la compañía, además de estar formados en cómo reconocer y reportar incidentes de seguridad o cómo proteger la información confidencial de la organización.
- Protección de las infraestructuras críticas y servicios esenciales. Los ataques también pueden dirigirse a infraestructuras críticas, como redes eléctricas, sistemas de transporte, servicios de salud y servicios financieros. La concienciación en ciberseguridad es esencial para aquellos que trabajan en estos sectores, ya que pueden ayudar a prevenir y mitigar los impactos de los ataques.
De esto se deduce que la falta de concienciación o un error por descuido (como acceder a un enlace de una fuente no fiable) puede conducir a una pérdida de datos, un ataque de ransomware, otra costosa interrupción del negocio o afectar a la vida personal. Incluso las organizaciones con las defensas de seguridad más sólidas y sofisticadas deben confiar en que los individuos hagan su parte.
La realidad corporativa
Año tras año, diversos estudios sitúan el elemento humano como uno de los principales factores de las filtraciones de datos. De acuerdo con el Verizon Data Breach Investigations Report, los últimos resultados de este año indican que en el 82 por ciento de las filtraciones comunicadas, ya sea por el uso de credenciales robadas, phishing, uso indebido o simplemente un error, las personas siguen desempeñando un papel muy importante en los incidentes y las brechas cibernéticas.
Si bien es cierto que la concienciación en materia de seguridad en las empresas ha aumentado significativamente en los últimos años debido al creciente número de ataques, al incremento del trabajo híbrido y a una mayor sensibilización sobre los riesgos asociados, la situación varía de una compañía a otra.
Todos los miembros de una organización deben conocer sus políticas de seguridad y colaborar para mantenerla por el bien de la entidad
La concienciación no llega por sí sola, sino que requiere de un compromiso por parte de la organización y de todo su personal: desde la cúpula directiva al último empleado. Todos deben ser parte de este proceso y estar involucrados en los programas de formación, cada uno a su nivel y en función de sus responsabilidades, pero todos en última instancia.
Para ello se debe apostar por incrementar los recursos y la inversión en programas de concienciación de seguridad. Esto incluye la contratación de especialistas, la implementación de programas de capacitación, la adopción de tecnologías de seguridad avanzadas, etcétera. Además, se debe contar con programas de capacitación en seguridad para los trabajadores. Unos programas que buscan educar a los usuarios sobre las mejores prácticas de seguridad y las amenazas comunes, además de cómo reconocer el phishing o incidentes de seguridad. Estas prácticas tienen que estar acompañadas de simulacros de ataques para poner a prueba la preparación y concienciación de los empleados.
Cultura corporativa
Otro punto importante en el que se debe trabajar es en la cultura corporativa. Implantar una cultura de seguridad en la que todos los empleados sean responsables de la misma es clave. Esto implica promover prácticas seguras, fomentar la comunicación abierta sobre problemas de seguridad y alentar a los empleados a informar de cualquier incidente o sospecha de brecha de seguridad. Por supuesto, también es importante extender esta cultura a la colaboración con el ecosistema de partners y proveedores para garantizar la seguridad de la cadena de suministro. Esto implica establecer requisitos de seguridad en los acuerdos y contratos, así como asegurarse de que los partners cumplan con los estándares de seguridad establecidos.
En general, aunque la concienciación en seguridad en las empresas está en proceso de mejora, queda trabajo por hacer para garantizar que todos los empleados estén debidamente informados y preparados para enfrentar los desafíos de seguridad en el entorno empresarial.
Por último, y aunque existen fechas señaladas en el calendario como el Mes de la Concienciación en Ciberseguridad −que recuerda que debemos reflexionar y pensar en nuestra responsabilidad y en cómo contribuimos a hacer nuestro entorno más seguro y protegido−, cualquier momento es bueno para reevaluar los procedimientos, las tecnologías de seguridad y el papel que nosotros, como usuarios, queremos −y debemos− desempeñar en nuestras prácticas de seguridad, ya sean personales o corporativas.
Empresas y usuarios hemos de mantener el espíritu de la formación y evaluación continua para comprobar y perfeccionar nuestros progresos. La ciberseguridad es un esfuerzo continuo, por lo que es importante mantener la concienciación y los programas de formación en el tiempo.
Y recuerda, los empleados pueden ser el mayor activo de seguridad de las organizaciones, pero también su mayor riesgo.