Las empresas suelen confiar la seguridad de la información, o dicho de otra manera, la ciberseguridad a su departamento TIC o a un proveedor externo especializado, pensando que, si algo falla, la culpa es de estos. No obstante, la responsabilidad en ciberseguridad es de todas las personas que pueden acceder y/o tener conocimiento de toda esta información.
Las tecnologías avanzan muy rápido y se hacen cada vez más complejas. Pero las personas no evolucionan tan rápido como la tecnología, y a veces, la brecha tecnológica de conocimiento y capacitación es amplia. Esta brecha pone en riesgo a toda la organización. ¿Te imaginas un operario industrial trabajando con máquinas peligrosas sin la formación de seguridad necesaria? Hoy en día sería inconcebible. En el mundo digital pasa lo mismo. En este caso, en vez de proteger la integridad de la persona, la formación en ciberseguridad tiene como objetivo proteger los activos digitales de la organización, que cada vez son más importantes. El usuario es la pieza más clave de la ciberseguridad.
Podemos poner las medidas más exhaustivas, implementar las tecnologías más novedosas, más caras o complejas, disponer de las mejores políticas, pero ello no impide que un usuario puede dar información por teléfono a quien no debe, descargar una aplicación maliciosa, realizar una transferencia errónea o caer en otro tipo de suplantación de identidad.
Los usuarios son susceptibles a la ingeniería social, arte que permite a un atacante “hackear la mente humana” y exponer datos que el usuario sabe o puede facilitar. Ya sea por desconocimiento o mala intención, un usuario puede, conectar un USB desconocido, facilitar información relevante por teléfono, utilizar y reutilizar contraseñas débiles, visitar webs maliciosas o ejecutar un archivo adjunto infectado, entre otras acciones.
El conocimiento de los atacantes, es muy superior al de los usuarios, y aprovechan esta brecha de conocimiento para realizar ataques a las organizaciones. Si bien el trabajo de la dirección y departamentos tecnológicos son de vital importancia, también lo es la formación de todos los empleados. El Reglamento General de Protección de Datos ya indica la obligación de formar a los empleados para la correcta gestión de datos personales. Esta formación no debe ser estática, sino que debe de entrar en el ciclo de mejora continua. De esta manera, junto una correcta gestión de los roles, procedimientos y herramientas de ciberseguridad, las empresas logran blindarse contra la mayor parte de ataques cibernéticos.
La gestión del cambio es uno de los retos más importantes que los equipos directivos y técnicos, han de afrontar, y los resultados valen mucho la pena. Se recomienda dar formación al usuario de manera que seguridad y rendimiento vayan de la mano en vez de adoptar un paradigma limitador y de bloqueo para los usuarios que mejora la seguridad, pero entorpece el rendimiento.
Tenemos que ser, y somos, conscientes que la seguridad, o la ciberseguridad, perfecta no existe. Son capas. Y sabemos que no existe una herramienta única que lo proteja todo. La seguridad es un trabajo conjunto continuo, y cada capa de seguridad debe estar en sinergia con las demás.
¿Están los usuarios alineados con las soluciones, políticas y necesidades de ciberseguridad de tu empresa? ¿Se están implementando mejoras continuamente en este sentido? ¿La ciberseguridad está potenciando y no limitando el rendimiento de tu empresa? Si no es así, urge una planificación de formación y capacitación, que facilitará la gestión de las tecnologías, minimizará los riesgos y mantendrá a los ciberdelincuentes lejos de los datos sensibles de tu empresa.
En colaboración con Light Eyes