Delegado de Madrid. S2Grupo

Hay frases que, a base de ser utilizadas, se convierten en parte de la cultura general, aunque, a veces, no se reflexiona sobre su verdadero significado. Un ejemplo: “Las personas somos el eslabón más débil de la cadena de seguridad”. Nada que objetar, salvo que, en muchos aspectos, seguimos estando en el mismo punto de partida que cuando empezamos a usarla hace años.

Independientemente del tamaño de la empresa, nos encontramos con frecuencia ante una situación que deja mucho que desear en lo que se refiere a la ciberseguridad. Por una parte, la percepción del riesgo por parte de los equipos directivos está bastante lejos de la realidad. Por otra, los empleados no están suficientemente concienciados y no son conscientes de su importante papel a la hora de mantener unos niveles de seguridad adecuados.

Que el problema tiene su importancia lo demuestran el hecho de que, tanto la estrategia nacional de ciberseguridad, como la europea, la incluyen de manera explícita entre sus principales líneas de acción.

En ambas se indica la necesidad de concienciar a los ciudadanos, profesionales y empresas de la importancia de la ciberseguridad y del uso responsable de las nuevas tecnologías y servicios de la sociedad de la información. En particular, la estrategia europea menciona la obligación de que los ejecutivos y los consejos sean responsables de asegurar la ciberseguridad.

Precisamente por esto, los departamentos de seguridad de muchas organizaciones ponen en marcha proyectos de formación/concienciación en ciberseguridad para los empleados de sus organizaciones. Sin embargo, hay que tener en cuenta que concienciación y formación no son la misma cosa. Mientras que formar es educar o adiestrar, concienciar es conseguir que alguien sea consciente de algo.

Cuando formamos, trasladamos al personal el conocimiento necesario para poder proteger la información que maneja. Se trata de enseñar los procedimientos que se deben aplicar y cómo hacerlo. En otras palabras, enseñamos el qué y el cómo.

Por otra parte, al concienciar, involucramos e implicamos al empleado en la protección de la información que gestiona, explicándole las razones para hacerlo, la importancia de sus acciones y el impacto que estas pueden tener. Es decir, enseñamos el por qué.

Por poner un ejemplo, si explicamos a alguien cómo cifrar la información que transportamos en dispositivos extraíbles, estamos formándole, dándole los medios para que pueda proteger la información que gestiona. Contando con su buena intención, asumimos que el empleado utilizará esos medios siempre que sea necesario. Sin embargo, este enfoque tiene una debilidad: si el empleado no ve la necesidad de cifrar un documento, ¿de qué le sirve saber utilizar las herramientas para hacerlo? Lo más probable es que, pasado un tiempo, y dado que no entiende la necesidad de uso del cifrado, acabe por no utilizarlo nunca.

Por otra parte, si de verdad somos capaces de concienciarle de la necesidad de proteger la información y de que la negligencia de no hacerlo puede tener un impacto importante en el negocio o en la reputación de su organización, llegado el momento, puede que no recuerde las instrucciones de uso de la herramienta de cifrado pero, al estar concienciado de la necesidad de su uso, no durará en informarse del cómo porque tiene muy claro el porqué.

En resumen, la formación es necesaria, pero, sin una concienciación previa, pierde una gran parte de su efecto, es como sembrar en terreno baldío.

Estando clara la estrategia, el problema con el que nos encontramos es que concienciar a los empleados en materia de ciberseguridad es una tarea nada trivial en la que los profesionales del sector llevamos trabajando desde hace años con un éxito limitado, a juzgar por los resultados.

¿Cómo se puede abordar este problema? En el siguiente artículo detallaremos la estrategia diseñada por S2 Grupo.