En un mundo cada vez más digitalizado, la ciberseguridad se ha convertido en una prioridad crucial para las organizaciones de todos los sectores. Es por eso que Jorge Osorio Bretón, Director de Servicios de Consultoría en Seguridad de la Información, nos comparte su visión sobre la importancia de concientizar a los miembros de una organización para lograr implementar una estrategia robusta y madura de ciberseguridad.
-
¿Cuáles son los principales riesgos cibernéticos a los que se enfrentan las empresas hoy en día?
El primer gran riesgo es el secuestro, robo o exfiltración de la información, lo que puede darse de varias formas, sin embargo, la principal es a través de un ataque de ransomware que se produce mediante un correo electrónico falso, una memoria USB, una descarga de internet, un tema de suplantación de identidad, etc.
Una vez que el ransomware infecta al equipo, los hackers pueden afectar distintos sistemas de una organización como sus servidores, bases de datos, página web y más, con el objetivo de secuestrar información valiosa y solicitar un pago para liberarla.
Este tipo de ciberataques conllevan a otros riesgos como el hecho de que los hackers publiquen los datos robados y toda esa información confidencial llegue a un público que no tendría por qué tener acceso a esta. Por otro lado, también existe el riesgo de que los hackers comercialicen los accesos a la información, junto con los datos obtenidos a otro grupo de cibercriminales.
Por lo tanto, son tres tipos de extorsiones diferentes que se pueden producir de un mismo ataque de ransomware. Es casi un hecho que la mayoría de las organizaciones van a vivir un incidente de este tipo, aunque el impacto depende en gran medida de qué tan preparadas estén.
Como consecuencia, estos riesgos afectan tanto a la operación, como a la reputación de una organización. Si bien el impacto operativo a veces puede tardar horas, días o semanas en volver a funcionar, generalmente es rápido, en cambio el impacto reputacional puede tomar años en recuperarse, sin importar cual sea la organización.
-
¿Qué estrategias efectivas existen para sensibilizar al personal acerca de la importancia de tener una buena ciberseguridad?
Primero que nada, debe de haber un entendimiento de la cultura interna de la organización y los canales que ésta utiliza para comunicarse con sus colaboradores, porque de esa manera la empresa sabe cuál es la mejor forma en la que puede llegar a ellos. Por eso para tener una estrategia efectiva es fundamental comprender la comunicación interna de la compañía.
Adicionalmente, hay que ser conscientes de qué momento está viviendo la empresa, es decir, si acaban de tener un incidente, tienen experiencia en temas de seguridad de la información o si apenas están empezando a atender estas cuestiones.
A partir de ahí, se deben de crear programas de concientización adecuados que integren maneras diferentes de llegar al colaborador, como pueden ser mediante capacitaciones, correos electrónicos, materiales de aprendizaje, exámenes y hasta juegos a través de los cuales se sensibilicen lo suficiente que empiecen a crear esa conciencia de seguridad.
-
¿Cuál es el papel de la alta dirección en la promoción de una cultura de ciberseguridad?
Entre más arriba venga la indicación es mucho más fácil que se cumpla, pero no solo debe de expresarse, tiene que vivirse. Los directivos tienen que ser los primeros en predicar con el ejemplo, no se vale que un miembro de la alta dirección sea una excepción para las reglas.
Por otro lado, no solamente es necesario expresar la indicación y ponerla en práctica, también está la parte económica. Es responsabilidad de la alta dirección proveer los recursos necesarios para que esa indicación se pueda hacer realidad. Esto puede ser mediante la contratación de más personal, así como más servicios y mejores soluciones de seguridad, entre otras cosas, ese es el compromiso de la alta dirección.
-
¿Cuáles son los errores más comunes que cometen los empleados en términos de ciberseguridad y cómo pueden mitigarse?
Hay dos tipos de usuarios en las empresas, en primer lugar, están aquellos que pertenecen a las áreas de TI, sistemas, desarrollo, ciberseguridad, etc., los cuales tienen acceso privilegiado a la información, debido a que son ellos quienes configuran los sistemas para determinar quién puede ingresar y quién no.
Las empresas deben de asegurarse que este tipo de colaboradores no tengan exceso de confianza y que el ego de tener un amplio conocimiento en temas de tecnología no les gane, ya que precisamente son ese tipo de malas prácticas las que dan entrada a ciberataques.
Por otro lado, están el resto de los usuarios que no tienen acceso a nada, pero son los que operan los recursos tecnológicos y las soluciones de la empresa. Entre estos puede haber directores, gerentes, coordinadores, jefes de área, analistas y más. El mayor error que cometen estos es ser apáticos hacia los temas de ciberseguridad, ya que la seguridad de la información es transversal hacia la organización debido a que a un cibercriminal no le importa si es la dirección de ventas, el departamento de finanzas o el becario quien le está dando acceso a los sistemas, a él lo que le interesa es entrar por donde sea.
-
¿Cuáles son las mejores prácticas para concientizar a los empleados sobre la importancia de los temas de seguridad, así como para involucrarlos activamente en la protección de los sistemas e información de la empresa?
La mejor práctica para incentivar a los empleados es darles algo a cambio, puede parecer algo simbólico, pero cuando se genera un sentido de competencia sana dentro de la organización mediante juegos, dinámicas, rallys y concursos que ofrezcan un incentivo, las personas se acuerden mucho más del tema.
El estímulo puede ser algo muy simple como un llavero, pluma, souvenir, gadget o cualquier cosa que la empresa esté dispuesta a dar, que motive a los colaboradores a participar. Además, esta clase de recompensas funciona porque cada vez que los ganadores ven ese premio en su escritorio, recuerdan que se lo ganaron gracias a su conocimiento en ciberseguridad y al mismo tiempo le genera un compromiso.
Por otro lado, estos incentivos también motivan a los compañeros a participar en esta clase de iniciativas, ya que usualmente al ver el regalo de alguien más les da ganas de obtener su propia recompensa y por ende se animan a participar para obtenerla.
-
¿Cómo puede una empresa fomentar una cultura donde la ciberseguridad sea una responsabilidad compartida por todos los empleados?
Primero que nada, debe de existir constancia en temas de ciberseguridad porque los hackers no solo atacan en ciertos periodos, sino que están intentando ingresar a los sistemas todo el tiempo. Por lo tanto, es fundamental impartir continuamente programas para generar consciencia en los colaboradores.
Es importante evaluarlos constantemente para irlos madurando, identificando tanto lo qué está funcionando, como lo que debe ser modificado. Después de algunos años, esto también le permitirá a una empresa seguir mejorando en temas de ciberseguridad.
El problema es que muchas veces las organizaciones no son constantes en su estrategia y solo la aplican paulatinamente o cuando son víctimas de un ciberataque.
Además de lo anterior, también es esencial permitir que los empleados expresen su opinión. Grandes iniciativas que se realizan como parte de los programas de concientización surgen de los colaboradores, lamentablemente muchas veces las organizaciones se cierran y no permiten que ellos aporten sus opiniones. Ciertamente alguien podrá tener alguna idea que no se pueda ejecutar, pero lo importante es dar la apertura para que los empleados se expresen, ya que también pueden surgir algunas sugerencias bastante buenas.
Por último, hay que considerar que lo que aplica para un área, puede no funcionar para el resto de los departamentos, depende mucho del tipo de organización, pero a veces un área es muy diferente a la otra, por lo que es importante adecuar las estrategias e iniciativas a las necesidades de cada uno de los distintos sectores de una empresa.
No cabe duda que el tema de ciberseguridad no es solo un asunto técnico, sino una responsabilidad compartida que debe permear en toda la estructura de una organización.
La concientización, la formación continua y el compromiso de todos son elementos clave para construir un entorno seguro y protegido, estar bien preparados en cuestiones de seguridad de la información no solo minimiza el impacto operativo y reputacional de una empresa, sino que también fortalece su resiliencia frente a posibles ataques. ¿Qué estás esperando para preparar a tus empleados?
