*
La seguridad de las tecnologías de la información y comunicación (ciberseguridad) se está convirtiendo en una de las principales preocupaciones de los responsables de las empresas, que no dudan en invertir grandes cantidades de dinero en todo tipo de sistemas que les garanticen cubrir las contingencias no deseadas con la mayor solvencia posible. Pese a ello, en la mayoría de los casos nos olvidamos de que el plan de contingencias más perfecto puede fallar si sus trabajadores no tienen la formación necesaria para saber actuar en dichas situaciones. Es esencial invertir en formación para que todos los empleados de una compañía sean conscientes de su importante papel en la seguridad general. De esta manera, se conseguirán evitar muchos de sus errores y, por lo tanto, reducir al mínimo el riesgo de incidencias de seguridad, a lo que habitualmente llamamos riesgos de ciberseguridad.
La necesidad de concienciar a los trabajadores para cubrir contingencias
Al hablar de ciberseguridad, debemos tener en cuenta que más del 75 % de los problemas de este tipo, que tienen lugar en una empresa, tienen su origen en una acción llevada a cabo por alguno de sus empleados. Por supuesto, de manera inconsciente y sin voluntad de dañar a la entidad. Los usuarios son siempre el elemento más débil en la seguridad de un sistema. Por lo tanto, invertir en ellos es la mejor manera de garantizar que el plan de ciberseguridad creado tendrá los resultados buscados.
La mejor tecnología de ciberseguridad y las estrategias más ambiciosas no pueden evitar, por ejemplo, el gran número de acciones de spear phishing (es una estafa de correo electrónico) que sufre cualquier empresa. En cambio, concienciar a los usuarios sobre qué precauciones deben tomar para evitar este riesgo es básico para reducirlo.
Cómo mejorar la ciberseguridad teniendo en cuenta a los usuarios
La clave del éxito de una estrategia de ciberseguridad para una empresa se centra en analizar al detalle la situación que ya existe, recopilando todos los datos posibles a nivel interno y externo. Con esta información es fácil crear un plan inicial de formación para todos sus empleados. Ya en este punto, es indispensable hacer pruebas periódicas para comprobar que la formación impartida ha sido eficaz y, en función de los resultados, establecer los cambios que sean necesarios para mejorarla.
Al llevar a cabo este proceso, es necesario tener siempre en mente la necesidad de tratar a los empleados de manera individual. Hay que tener en cuenta que, por su puesto de trabajo, no todos se enfrentan a los mismos riesgos de seguridad. Así, por ejemplo, el personal administrativo difícilmente tiene los mismos problemas que los empleados de marketing y los comerciales, que reciben innumerables emails del exterior. De todos modos, quienes deben tener una formación de más alto nivel para poder reaccionar ante las amenazas más sofisticadas son los informáticos. Asimismo, la dirección y el personal con poder de decisión en la empresa también necesitan tener una política específica de ciberseguridad que les permita manejar con garantías la información tan sensible con la que trabajan.
Planes de formación específicos
Una vez analizados los grupos de empleados de la empresa y los riesgos a los que se enfrentan en concreto en cada caso, ya es posible crear los módulos de formación necesarios. Estos tendrán que abarcar tanto su concienciación sobre su papel en la ciberseguridad de la empresa como los conocimientos necesarios para llevar a cabo su trabajo con las mayores garantías de seguridad posibles.
Existen diversas opciones de formación para proporcionar a los empleados los recursos necesarios para posibilitarles realizar su trabajo cumpliendo con las pautas adecuadas para garantizar la ciberseguridad de la empresa. Los cursos online son una buena herramienta para que puedan hacer este proceso de aprendizaje de la mejor manera posible y, por lo tanto, garantizar su buena predisposición hacia este tema tan importante para el negocio.
Además, para que la formación resulte realmente efectiva, es muy importante adaptarla a cada área de trabajo. Sería una pérdida de recursos y de tiempo proporcionar conocimientos en profundidad sobre cómo proteger una información concreta a un empleado que no está en contacto con ella. En cambio, es importante incidir en la concienciación de todos ellos en alcanzar los objetivos marcados de seguridad.
El diseño de campañas generales para toda la empresa, que sean capaces de estimular a todos los trabajadores de la plantilla a participar de manera efectiva en los procesos de formación y plataformas de simulación, es indispensable para conseguir un buen nivel de concienciación general en seguridad.
Procesos de concienciación efectivos
realizar un proceso de concienciación que, realmente, resulte efectivo para que todos los empleados se sensibilicen de manera positiva en tomar las precauciones adecuadas para el buen funcionamiento de la seguridad de una empresa, pasa por realizar un proceso de largo recorrido. Tendrá que incluir acciones periódicas que van desde la entrega de folletos y trípticos informativos a ataques dirigidos y la emisión de consejos de seguridad mensuales, para estimular el interés de los trabajadores en el tema. Todo ello, por supuesto, sin olvidar las acciones formativas adecuadas.
La importancia de los ataques dirigidos
Uno de los elementos de este proceso que merece especial atención son los denominados ataques dirigidos. Se trata de una serie de ejercicios en forma de ataques sorpresa que son lanzados por medio de emails y USB a los empleados con el objetivo de demostrarles todo lo que puede representar para la empresa y para su trabajo en concreto un ataque real. Existe la posibilidad de hacerlos simultáneos o en diferentes fases del proceso de concienciación, según se desee.
Estos ejercicios tienen la doble función de despertar el interés de los trabajadores por aprender más sobre ciberseguridad –un tema que para muchos de ellos está fuera de su formación inicial específica a nivel laboral– y también de evaluar los conocimientos y concienciación inicial que se tiene en la empresa sobre la importancia de establecer mecanismos de seguridad.
Conclusiones
En esencia, debemos recordar que un correcto nivel de seguridad de una empresa no pasa solamente por contar con los mejores recursos técnicos posibles. También es igual de necesario trabajar con los empleados para involucrarlos de manera positiva y efectiva en todo el proceso de la ciberseguridad.
La ciberseguridad ya no es solo responsabilidad de los informáticos, sino de todos. Cada uno de nosotros somos quienes visitamos enlaces sospechosos, quienes descargamos archivos desconocidos y quienes ignoramos las advertencias de seguridad de nuestras aplicaciones. Y, en ese sentido, la importancia de la ciberseguridad y de la autoprotección radica precisamente en ser responsable y cauteloso para evitar riesgos y sorpresas indeseables al estar conectado y desconectado
Si te ha interesado este POST te invitamos a que leas también:
- CLAVES PARA IDENTIFICAR LOS RIESGOS TECNOLÓGICOS TIC
- ¿POR QUÉ ESPERAR EL DESASTRE? ELABORA UN PLAN DE CONTINGENCIA
*Background photo created by rawpixel.com - www.freepik.com