La información económica de los líderes

El factor más importante de la ciberseguridad

Logo firma
 / 
Socio director
S2 Grupo
Archivado en: 

el factor más importanteA nadie extrañará que digamos que el factor más importante, como en tantas ocasiones, son las personas. Sin embargo, en un asunto tan tecnológicamente complejo como la ciberseguridad, esta afirmación requiere una explicación.

En primer lugar, hay que decir que, según un número importante de estudios, un porcentaje muy alto de las incidencias en este campo, entre el 70 % y el 90 %, son causadas por un comportamiento inadecuado de las personas. En la mayoría de los casos, por ignorancia o incluso por buena intención. En otros, por robo interno por parte de empleados.

Por supuesto, hay otras causas, mucho más relacionadas con la actuación de delincuentes y el uso de malware sofisticado, pero la conclusión clara es que, por mucho que instalemos protecciones tecnológicas en nuestras infraestructuras, mientras no resolvamos el problema de las personas, seremos incapaces de alcanzar niveles razonables de seguridad en nuestras organizaciones. Pareto, siempre Pareto.

La buena noticia es que reducir este tipo de incidencias no requiere de grandes inversiones y, además, tiene un impacto beneficioso en otras posibles causas de incidentes. Eso sí, requiere la participación de todos, puesto que se debe modificar la cultura de la organización.

El primer problema al que nos enfrentamos es la insuficiente conciencia de la importancia del problema. La atención mediática que generan los incidentes del tipo Wannacry o Petya, provoca una sensación de incertidumbre, pero no genera, en sí misma, una clara conciencia de cómo protegerse.

Es imprescindible trabajar en la concienciación, en conseguir que los miembros de la organización sean conscientes de las amenazas que pueden afectarles y de que su comportamiento en el desempeño de su trabajo es fundamental para la seguridad, de manera que tomen las precauciones necesarias. Para ello, es fundamental tener en cuenta que tratamos con personas, con una componente emocional que se puede aprovechar para conseguir que las campañas tengan mayor impacto. Las campañas de seguridad vial, por ejemplo, así lo hacen desde hace años.

El segundo problema es la extrema complejidad de la ciberseguridad. Encontrar una especialista que, además, sea capaz de comunicar con eficacia es poco menos que imposible. El departamento técnico debe diseñar acciones formativas en un lenguaje claro y bien comunicado, alejado de un enfoque demasiado técnico. El apoyo de las áreas de formación, comunicación y recursos humanos es muy importante: por una parte, son especialistas en formar y comunicar; por otra, si se involucran se convertirán en nuestros aliados.

Esta formación, además, debe estar adaptada a los diferentes perfiles de la organización. No es lo mismo formar en ciberseguridad a un técnico de sistemas que a un administrativo o a un directivo y esto se debe reflejar tanto en los contenidos como en los canales usados para causar el máximo impacto.

Debemos aprovechar los medios a nuestra disposición. Es fundamental la formación presencial, pero se debe hacer uso también de los canales habituales de comunicación de la organización o de plataformas de e-learning o, por qué no, aplicaciones móviles.

Por último, se requiere un proceso de entrenamiento, tan real como sea posible, en el que los usuarios se vean expuestos a escenarios de riesgo, en condiciones controladas, y puedan ejercitar las habilidades aprendidas. Además, el entrenamiento puede combinarse con la auditoría, como forma de medir la mejora en el nivel de seguridad alcanzado.

Por supuesto, todo proceso de mejora es, ante todo, un proceso y, por tanto, requiere actuación continua y medición. No basta con acciones aisladas, sino que debe desarrollarse un plan de concienciación, que sería un componente fundamental del plan director de seguridad de la organización.

Suscríbete a nuestra newsletter