Tom Bale Business Development and Technical Director for Logicalis Channel Islands.
La Ciberseguridad, un asunto de todos
Se percaten de ello o no, las empresas han de empezar a admitir que sus empleados son una pieza clave dentro del sistema defensivo multi-capa a proteger frente a ataques de suplantación de identidad (phising), malware, ramsonware, etc. La cuestión es ¿Aprecian actualmente el importante papel que éstos juegan?
Cada vez que leemos una noticia nueva en la que se relata la historia de otro ciberataque realizado vía phising, malware, ransomware o mediante una brecha de los sistemas que aseguran los datos, siempre hay una parte en la que puede identificarse la implicación de un usuario. Resulta que éste, ya sea de forma maliciosa, negligente o involuntaria, hizo clic en ese enlace sin poder evitarlo, abrió ese documento adjunto, visitó esa página web o hizo cualquier otra cosa que facilitó al cibercriminal el acceso que necesitaba para ejecutar sus malévolas intenciones.
La ciberseguridad devastadora
Los ataques pueden tener resultados devastadores. Recientemente, el gigante de la distribución Cosco Shipping Lines fue víctima de un ataque ramsomware. Ese mismo año varias empresas llegaron a perder hasta un millón de libras al ser víctimas de ataques basados en la “suplantación de identidad”, perpetrados por estafadores que monitorizaban los intercambios de correo electrónico y aprendían a imitar los modos y el estilo de escritura de sus compañías para mejorar la credibilidad de sus documentos falsificados. El ataque apuntó específicamente a las Islas del Canal.
Los empleados rara vez sucumben de forma consciente a un ciberataque. Es posible que unos pocos actúen malévolamente, pero la mayoría permite brechas de las defensas corporativas a causa de su ignorancia o negligencia. Esta última puede implicar al empleado en el ataque tanto por haber actuado sin cuidado como por la omisión de las acciones adecuadas.
En este abanico de opciones se incluyen los defectos a la hora de seguir protocolos de seguridad, la apertura de archivos adjuntos en correos sospechosos o el extravío de dispositivos de la empresa que contienen datos sensibles para la compañía. Un informe publicado recientemente apuntó que cerca de la mitad de las brechas en los sistemas de datos (47%) notificadas por ejecutivos senior (CEOs y CTOs) fueron ocasionadas por pérdidas accidentales o errores humanos.
La clara presencia de este peligro pone de manifiesto la necesidad de formular de nuevo la siguiente cuestión ¿Por qué los empleados no cuidan más la ciberseguridad? Con frecuencia esta dejadez responde a una simple razón: las compañías no han instaurado una cultura interna al respecto. En consecuencia, a sus equipos de profesionales les traerá sin cuidado la ciberseguridad al no haberles incitado a considerarla parte de su trabajo.
Dada esa situación, al incorporar una persona a trabajar en una cuenta no incluirá entre sus tareas velar por su seguridad, al considerar que se trata de una cuestión técnica que compete al departamento de TI. Sin embargo, cuando una organización provista de una cultura de ciberseguridad interna contrata a alguien, esa persona no sólo se ocupa de su trabajo, sino también de fiscalizar de modo constante los ataques cibernéticos, las estafas de suplantación de identidad y otras cuestiones por el estilo.
Construyendo una cultura de ciberseguridad
Así las cosas ¿Qué se requiere para crear una cultura de ciberseguridad dentro de la empresa? Aquí mostramos ocho pasos relativamente sencillos que ayudan a definirla:
- Advertir a los trabajadores.
La mayoría no estudian las metodologías que se emplean en los ciberataques. Necesitan conocer que la amenaza existe y que ellos suelen ser un objetivo predilecto para los ciberdelincuentes.
- Comunicar las expectativas.
Desde el primer día de trabajo, los empleados han de comprender que la empresa necesita que ejerzan cierto nivel de vigilancia frente a posibles ciberamenazas. En ese sentido es importante que los empleados comprendan que pueden estar en situación de riesgo tanto en su casa como en la oficina, y que sus acciones pueden marcar la diferencia en materia de seguridad al margen de dónde estén trabajando.
- Entrenamiento y evaluación
Implementando programas de formación para concienciar a la plantilla en materia de seguridad y mantener a los empleados informados y al tanto. Las empresas pueden realizar incluso un ejercicio de “simulacro” haciendo que un empleado o todo un equipo sean víctimas de un ataque orquestado por el departamento de TI o por un servicio contratado externamente.
Este podría adoptar la forma de un ataque de suplantación de identidad mediante el envío de un correo electrónico. A posteriori, el equipo debería revisar conjuntamente lo sucedido y aprender la lección correspondiente. Esta clase de entrenamiento en materia de seguridad podría continuar a lo largo del año, extendiéndose en la organización a todos los niveles e incluyendo partes específicas adecuadas al trabajo de cada departamento.
- Crear un plan formal
Los equipos de IT deben desarrollar un programa formal de entrenamiento en materia de ciberseguridad debidamente documentado, y actualizarlo con frecuencia para incluir en él información sobre nuevos vectores de ataque y otros riesgos.
- Señalar la importancia que tiene la seguridad tanto en el trabajo como en casa
Los expertos en TI más experimentados deben ayudar a los trabajadores a comprender la importancia de la “ciber-higiene” tanto en el trabajo como en casa. Una cuestión que tiene cada vez mayor relevancia debido al aumento de la interconectividad entre herramientas empresariales y su manejo por medio de dispositivos móviles manuales.
- Nombrar a personas encargadas de mantener la ciberseguridad.
Los ejecutivos de IT deben designar a un encargado de ciberseguridad en cada departamento. Podría recibir más formación y ayudar a los CTO y CIO a mantener a los empleados bien preparados y motivados. ¿Por qué emplear los recursos TI sólo al servicio del equipo de TI?
- Conseguir el compromiso de la dirección.
Si usted es un CTO ó CIO, debe informar al resto del equipo o comité ejecutivo sobre las ramificaciones que puede tener una posible brecha de seguridad y solicitar su opinión sobre el plan de seguridad cibernética.
- Recompensar a los empleados.
Reconozca y recompense a los usuarios que identifiquen correos electrónicos maliciosos y comparta sus historias sobre cómo los descubrieron y lo que hicieron. Igualmente, empatice con los usuarios que cometen errores, pero asegúrese de que sepan qué hacer en el futuro.
Puede leer el artículo original aquí