Formación para la concienciación: hacia una cultura de ciberseguridad eficaz

No hay duda, la ciberseguridad corporativa es asunto de todos; pero en realidad, es un problema de otros. Más allá de las herramientas técnicas implicadas, el aspecto de la concienciación y la educación del personal es de vital importancia. Y cuando se trata de conseguir que el personal se implique de lleno, los estatutos, las normas de buena conducta y otras guías digitales de seguridad están condenadas al fracaso si no se conciben como parte de un proceso mayor y más atractivo. Entonces, ¿cuál es exactamente la receta milagrosa para una cibercultura adecuada?

La concienciación no es un "dogma" universal

La inversión en seguridad, en muchas ocasiones, se sigue considerando como un gasto, más que como una necesidad. En este sentido, y aunque tanto las iniciativas para refutar esa creencia como el nivel de concienciación crecen poco a poco, lo cierto es que la necesidad de formarse en ciberseguridad no se considera -todavía- un “hecho” o un requisito universal. Así y según un reciente estudio de Stormshield sobre la Transformación Digital de las Empresas, aunque las iniciativas para promover el conocimiento de las mejores prácticas encabezan la lista de medidas citadas para hacer frente a los desafíos de la seguridad cibernética, su aplicación sigue siendo desigual. A este respecto, el 28% de los encuestados reconoce no invertir en concienciar a su personal, o al menos, no con regularidad.

Sobre las principales razones que dificultan esta formación, la limitación de presupuestos y la elección del método de formación más adecuado se erigen como las dos más importantes. Sobre el primero, el hecho de que el nuevo marco normativo europeo que rige la ciberseguridad se haya vuelto mucho más estricto, en particular con la aprobación de la Directiva NIS, GDPR o la nueva Ley de Seguridad Cibernética, han llevado a las empresas a aumentar su inversión, a fin de no incurrir en importantes multas o en daños a la reputación de la marca.

Al respecto del segundo punto, lo cierto es que están surgiendo una serie de iniciativas, desde talleres y boletines hasta demostraciones en vivo dadas por los llamados sombreros blancos, hackers éticos que realizan pruebas de intrusión, por ejemplo, para garantizar la seguridad de los sistemas.  También parece que los aspectos de seguridad se incorporan cada vez más a la formación sobre las nuevas herramientas de transformación digital (un aumento de nueve puntos porcentuales hasta el 48%, según el citado informe), sin olvidar el papel de las instituciones públicas, con la puesta en marcha de diversas campañas de concienciación.

La concienciación de la alta dirección

El papel de los órganos directivos de la empresa es fundamental porque, además de dar ejemplo, son los únicos que pueden exigir que se dé prioridad a la formación de concienciación y que se asignen los recursos necesarios para ello.

En este sentido, a la hora de prevenir es fundamental tener definido un protocolo de actuación en caso de incidentes, contar con un análisis de riesgos actualizado y, por supuesto, incluir mecanismos periódicos de prueba de las medidas de seguridad puestas en marcha. Con esto no se hace referencia a ningún tipo de solución concreta, sino a procesos y mecanismos, que pueden ayudar, más allá de la prohibición o el castigo, o de una mala higiene digital. Una vez que se tenga claro dónde estamos y a qué riesgos nos enfrentamos, podremos seleccionar las soluciones idóneas para nuestra organización.

No hay que olvidar además que el usuario continúa siendo el eslabón más débil, y una de las principales vías por donde entran los ataques a las empresas. Por tanto, concienciar a los usuarios es importante, pero es una medida parcialmente efectiva si tenemos en cuenta que los ataques están cada vez mejor diseñados y más personalizados. Un buen modo de blindar nuestras defensas, es dotando al empleado de herramientas sencillas de utilizar, o que no requieran su intervención directa. El reto es incorporar positivamente las mejores prácticas de seguridad cibernética en la vida cotidiana. Aquí hay algunos consejos sobre cómo se podría lograr esto.

La madurez sin responsabilidad no sirve de nada

La madurez es el paso final en un proceso de crecimiento. La transformación ya no es un camino lineal sino una forma de trabajar. En cuanto a las amenazas del futuro, aún no se han inventado, así que ¿cómo pueden las empresas hacer planes para protegerse de ellas aquí y ahora?  Varias empresas han alcanzado un hito clave, pasando de la concienciación a la acción para asegurar su transformación digital. Pero la madurez no es suficiente, hay que dotarla de grandes dosis de responsabilidad.

Ya sea que estemos en la era de la madurez o de la responsabilidad, hay tres actitudes fundamentales que son esenciales para las empresas que no quieren subirse al carro:

Desarrollar un reflejo de seguridad: Frente a las amenazas cada vez más presentes, las empresas deben seguir invirtiendo en soluciones de ciberprotección y detección de amenazas. Sin embargo, el enfoque de seguridad por diseño y la automatización no deben ignorar el aspecto humano de la ciberseguridad.

Aceptar el riesgo: La naturaleza determinada de los ciberataques, motivada por apuestas colosales, hace que los ataques sean inevitables: tarde o temprano, toda empresa puede ser víctima, independientemente de cuánto haya invertido. Sin embargo, es posible mejorar preventivamente la ciber-resistencia de una organización, ayudándola a minimizar el impacto.

Pensar en la empresa como un ecosistema: Sí, todas las empresas están afectadas. Los hackers de hoy en día apuntan a cualquier eslabón de la cadena logística para alcanzar su objetivo. Esto significa que es esencial que las empresas tengan una visión global de su ecosistema digital, incluyendo proveedores de servicios, proveedores, clientes y todos los contactos de la empresa. La ciberseguridad se ha convertido en una responsabilidad colectiva tanto para las organizaciones privadas como para las públicas.

A la vista de estos consejos, parece obvio que para lograr una cibercultura adecuada las empresas deben implantar una política en la que primen el sentido común y la responsabilidad respaldadas por una potente barrera de protección tecnológica de eficacia probada y uso sencillo.