Por: María Eugenia Piñatel, Diario Financiero
Los colaboradores de una compañía son la primera línea de defensa de una empresa, y por diversos motivos, ya sea descuido o ignorancia, pueden ser causantes de importantes ataques que producen millonarias pérdidas, por prácticas tan simples que pueden sorprender.
¿Cuántas veces ha abierto su correo de trabajo desde un café? ¿Lleva su portátil al trabajo? ¿Baja música por internet desde su oficina? Todos estos actos son inofensivos a simple vista, pero pueden poner en grave riesgo a su empresa u organización.
De acuerdo con Accenture, 43% de los ataques cibernéticos han tenido como impacto la pérdida de información producto de una infección de malware proveniente desde un sitio web legitimo, el cual ha sido previamente comprometido por ciber delincuentes.
En una encuesta a 3.000 líderes empresariales, la consultora PwC identificó 10 oportunidades de mejora en torno a personas, procesos y tecnología. Entre estos se mencionaron el aumentar la consciencia de estos temas entre la fuerza laboral: solo el 34% de los encuestados afirmó tener un programa de capacitación sobre ciberseguridad y privacidad. Y solo el 31% dijo que su empresa necesitaba capacitar a los empleados sobre políticas y prácticas de privacidad.
Para Luis Jara, gerente general de CompuNet, “la gran mayoría de las personas no tiene consciencia de los riesgos a los cuales se pueden enfrentar. Para allá apuntan estas campañas de concientización de usuarios, las que van sensibilizando y que, incluso, terminan extrapolando este conocimiento en sus casas”.
Es a raíz de esto que para las organizaciones es fundamental diseñar y operar un adecuado programa de concientización y capacitación para todos sus colaboradores en función de sus tareas y el rol que cada uno de ellos posee en la organización. Este programa debe ser con un enfoque a mediano y largo plazo, de acuerdo con las necesidades de cada empresa u organización y alineado con la realidad cultural existente.
Rodrigo González, sub-gerente de ciberseguridad de CompuNet, recomienda iniciar con una campaña base de evaluación, la cual provea el “big picture” de la cultura organizacional. Con esta información, es posible diseñar un programa de concientización ajustado a la realidad de cada organización y el cual permita instaurar una cultura basada en riesgos en todos y cada uno de los colaboradores.
PwC recomienda, por ejemplo, que estas campañas de sensibilización se lleven a cabo para respaldar los objetivos comerciales. Para eso aconseja que se cumplan las políticas que impulsan la responsabilidad por la ciberseguridad y usar mensajes que puedan ser recordados e influyan en el comportamiento de colaboradores cuando se enfrenten a esquemas de phishing y otras amenazas sofisticadas.
Se trata, explica Jara, de un proceso continuo en el que intervienen muchas veces empresas externas especialistas en ciberseguridad y la compañía que busca prevenir ataques. En estas instancias, se enseña a los colaboradores a identificar correos fraudulentos, juzgar la seguridad de las apps, mantener conversaciones seguras en los dispositivos móviles, crear y administrar contraseñas de forma segura, y usar las redes sociales responsablemente, entre otras cosas.
Pero todavía hay trabajo que hacer. Jara es enfático en que “la seguridad es un proceso, no existe una solución de seguridad que sea la bala de plata, son todas complementarias entre sí. Es por eso que la concientización está muy fuerte”.
Además, Jara asegura que para lograr el objetivo de sensibilizar y concientizar a los colaboradores, “es necesario contar con un programa de concientización (como proceso) y con una solución que apoye dicho programa, como Knowbe4, el cual también provee herramientas gratis para medir los niveles de riesgos que poseen las organizaciones“.
Pese a que la mayoría de las empresas no invierten suficientes recursos en ciberseguridad, si están cada vez más preocupadas en mejorar los hábitos de seguridad de sus empleados. Esto, cuando se tiene más que nunca la certeza de que los riesgos se pueden minimizar pero nunca evitar por completo.