De la concienciación a la implicación en la ciberseguridad


En los últimos años la ciberseguridad ha venido tomando el protagonismo que le corresponde, pero los niveles de concienciación e implicación están todavía lejos de lo adecuado.
Las personas son el eslabón más débil de la cadena de seguridad de la información, y las comunicaciones representan la puerta de entrada en más del 90% de los ciberataques que sufrimos a través de los medios digitales.


24/04/2023

MANUEL SANCHEZ GÓMEZ-MERELO

El 94% de las empresas de España ha sufrido un incidente de ciberseguridad en el último año. Un dato alarmante, según asegura un reciente estudio publicado por la red de servicios internacional Deloitte.
 

De hecho, España se posicionó en 2022 como el tercer país a nivel mundial en materia de ciberataques, después de haber sufrido en 2021 más de 300.000 delitos informáticos, lo que se considera la mayor ola cibercriminal del país hasta el momento.
 


 

Los ciberataques suponen una vulnerabilidad muy grande en las organizaciones y, las pérdidas económicas y de información, además de ser muy importantes, representan un perjuicio en la imagen y reputación personal y de las instituciones.
 

Los ciberdelincuentes aprovechan el desconocimiento, la exposición y las vulnerabilidades de los usuarios para acceder a la información de nuestros dispositivos, a fin de utilizarlos en contra de las personas y de las organizaciones.
 

Cuando una organización sufre una incidencia, las consecuencias trascienden inmediatamente y el impacto del propio ataque pone en riesgo la confianza, la reputación, la credibilidad y el desarrollo de la actividad de la organización atacada. Consecuentemente, los órganos de gobierno de las organizaciones deben reforzar su capacidad de resiliencia al mismo ritmo que lo hace con la ciberseguridad, lo que supone un importante desafío.
 

Objetivos de la concienciación
 

Los pilares fundamentales de la ciberseguridad son las personas, los procesos y los sistemas y tecnologías.
 

En este sentido, el objetivo de la concienciación de las personas no es convertir a los empleados en expertos en seguridad de la información, sino trasladar las mejores prácticas en materia de prevención y protección para que pueda adoptar pautas de comportamiento seguro en los distintos entornos en los que desempeñan su actividad.
 


 

De esta forma, no solo se mejora la cultura de seguridad de la organización sino que se optimizan los procesos con garantías de protección. Así, se Identificará fácilmente los riesgos y amenazas a los que se está expuesto, así como sus potenciales consecuencias.
 

Igualmente, es objetivo importante conocer cómo actúan los ciberdelincuentes, sus motivaciones y modus operandi para saber aplicar las medidas de seguridad adecuadas y así prevenir la mayoría de los ciberataques.
 

La comunicación de todos los aspectos vinculados con la ciberseguridad de una organización es también objetivo importante.
 

Por último, se deberá mantener siempre actualizados los procesos de control, supervisión e inteligencia, que permitan medir los resultados y desviaciones para mantener un análisis de la información fiable y constante que provenga del funcionamiento y estado de seguridad de todos los procesos derivados de la actividad de la organización.
 

Concienciación e implicación
 

Para conseguir de forma efectiva la concienciación e implicación de todo el personal hay que definir previamente la política de seguridad en la propia estructura de la organización.
 

Para ello, la primera fase para prevenir la materialización del riesgo o cualquier ciberamenaza es identificarlas o conocerlas para establecer las medidas de prevención.
 

Una vez identificados los riesgos y amenazas, estableceremos las medidas de concienciación y prevención que debamos aplicar para minimizar o, en el mejor de los casos, eliminar esas vulnerabilidades, riesgos y amenazas a los que estemos expuestos.
 

En este sentido, la implicación de la alta dirección juega un papel clave para fortalecer el establecimiento de medidas de seguridad.
 

La concienciación es, en cualquier caso, más prioritaria que nunca y requiere poner en marcha iniciativas de sensibilización y capacitación para todo el personal.
 

Seguridad y ciberseguridad
 

Desde hace mucho tiempo, la seguridad ha de establecerse con una visión integral e integrada de la seguridad física y la lógica, para protección de los activos y la información de las organizaciones.
 


 

Esta integración se debe basar en una sinergia perfecta también entre las operaciones y la seguridad, consiguiendo así que esta última, además de velar y proteger los intereses y activos de la organización, aporte un valor añadido, diferencial y competitivo. Esta circunstancia tan solo es posible cuando por parte de los departamentos y responsables de seguridad se dispone de un profundo conocimiento de la actividad y sus riesgos.
 

Para ello, a la hora de definir un plan de seguridad, previamente se deben identificar y cuantificar los riesgos, amenazas y vulnerabilidades implícitos en la actividad y las personas y bienes o activos a proteger.
 

A continuación, debemos definir las políticas de seguridad necesarias para proteger y prevenir las potenciales consecuencias de los riesgos identificados, y que estas estén en consonancia con la actividad.
 

Por todo ello, las medidas y medios de ciberseguridad ya no son una opción más, han de estar integrados en el Plan de Seguridad para garantizar la salvaguarda de la información y proteger activos intangibles, como la reputación de la organización.
 

En este sentido, el Consejo de Administración debe implicarse y transmitir su compromiso a la Dirección de Seguridad y al resto de los empleados, para minimizar el impacto en su modelo de organización y funcionamiento.
 

Comunicación y formación
 

El escenario de trabajo definido, desde el punto de vista de la seguridad de la información, determinará el perímetro de protección de la organización y convierte a cada empleado en el nuevo entorno de seguridad a proteger y lo convierte en el punto más importante.
 

Por ello, la concienciación e implicación del empleado en la protección de la información que maneja y su comportamiento en el uso de los dispositivos y las tecnologías, requerirá de una especial formación y capacitación que convierte a la ciberseguridad en iniciativas básicas y fundamentales.
 


 

A través de esta capacitación se detectarán las ventajas y desventajas del medio digital y cómo está evolucionando la prevención y la protección en la organización.
 

Es imprescindible acompañar todas estas políticas de seguridad con medidas y protocolos complementarios, tanto de control, comprobación y seguimiento, como de identificación de nuevos riesgos y amenazas.
 

A modo de conclusiones
 

La labor de concienciación requiere del esfuerzo e implicación de todos en la ciberseguridad ya que tanto los ciudadanos, como las administraciones, organismos y organizaciones empresariales somos responsables del comportamiento en las comunicaciones, por tanto, todas las actuaciones tienen consecuencias directas en el resto de actores que participan y sólo desde el trabajo común y la responsabilidad compartida se podrá garantizar una mayor protección de los medios de gestión y comunicación.
 


 

La utilización de las nuevas tecnologías y equipamientos en el desempeño de nuestras actividades digitales, unido a la facilidad de acceso a Internet, ha convertido nuestros puestos de trabajo en versátiles, y podemos trabajar desde cualquier parte y comunicarnos en cualquier momento.
 

Esto hace que la concienciación e implicación en materia de seguridad de la información que manejan los empleados, sea la asignatura pendiente en el ámbito de la ciberseguridad, y es el elemento causante de incontables brechas de inseguridad capaces de afectar a organizaciones de cualquier tamaño.
 

En resumen, vamos a redundar sobre los puntos básicos que ha de tener en cuenta cualquier responsable de la seguridad de la información para minimizar el riesgo de inseguridad causada por el factor humano y son los siguientes:
 

- Hemos de establecer políticas de concienciación para facilitar la implicación de las personas en la ciberseguridad.

- Se han de realizar evaluaciones y acciones de concienciación de forma periódica a los empleados para conocer el nivel y cultura de protección de la información que poseen.

- Periódicamente se ha de realizar simulaciones de ataques a la información y datos y analizar los resultados.

- Es fundamental que todos los empleados conozcan la política de seguridad de la organización, y sepan muy bien qué se espera de ellos en términos de protección de la información y datos en línea.

- Se ha de proporcionar a cada empleado los medios y protocolos que sean necesarios para realizar su trabajo y mantener su concienciación e implicación.

- Hay que establecer, y animar a los empleados a utilizar contraseñas seguras, y a cambiarlas con frecuencia, proporcionando las herramientas adecuadas y el control que facilite el cumplimiento de los protocolos para el cambio de éstas.

- Hemos de asegurarnos que los empleados comprendan las consecuencias de las brechas de inseguridad o los ataques de los ciberdelincuentes para conseguir que se incremente su nivel de alerta y la preparación adecuada para identificar cualquier ataque de ingeniería social.
 

En definitiva, hagamos que la concienciación y la implicación en materia de ciberseguridad sea una parte importante de la cultura organizacional, creando retos que visibilicen a los empleados que tienen las mejores prácticas.