Fernando Carrazón

Opinión

El empleado, el eslabón más débil de toda la estrategia de ciberseguridad

Guardar

Imagen_Fernando_Carrazón_COO_BOTECH
Imagen_Fernando_Carrazón_COO_BOTECH

Que la ciberseguridad es imprescindible en todos los sectores es algo incuestionable. No importa tu sector de actividad ni el tamaño de tu empresa. Ninguna organización está fuera del punto de mira del cibercrimen, pudiendo sufrir un incidente en cualquier momento que puede causar pérdidas económicas muy importantes, pérdidas de imagen y reputación irreparables e, incluso, puede suponer el cierre de una compañía.

En los últimos meses son muchos los casos de ciberataques que han llegado a los medios de comunicación. Sin ir más lejos, el sufrido por el SEPE y que paralizó totalmente su servicio durante días debido a un ransomware, con toda la problemática que eso conllevó. Casos como este y otros muchos que han acontecido sobre todo en el último año nos hacen darnos aún más cuenta si cabe de que la ciberseguridad debe formar parte de toda la empresa y no solo debe afectar al equipo técnico o a los expertos informáticos con los que pueda contar la organización.

Con la llegada del COVID19 todas las empresas, tanto en España como en el resto del mundo, han tenido que acelerar sus procesos de digitalización y habilitar el teletrabajo, aún cuando no tenían este sistema implantado en sus organizaciones. Y como ya se sabe, las prisas nunca son buenas, aunque en esté caso estuviera justificado. El desconocimiento, la falta de estrategia de ciberseguridad y la aceleración en los procesos han desembocado en un gran aumento de ciberataques, en todos los sectores y organizaciones, tanto públicas como privadas. No en vano, el Instituto Nacional de Ciberseguridad (INCIBE), a través de INCIBE-CERT (su Centro de Respuesta a Incidentes de Seguridad) acaba de hacer público que gestionó más de 130.000 incidentes de ciberseguridad durante el año 2020. Y el equipo de expertos de BOTECH detectó, solo en el mes de abril, más de 42.000 malwares.

Datos que a lo largo de todo este último año nos han hecho poner el foco en la necesidad de formar en ciberseguridad a todos los miembros de una organización. Porque los conocimientos sobre ciertos temas de ciberseguridad deben transmitirse absolutamente a toda la organización, independientemente de su puesto de trabajo o su departamento, ya que se ha comprobado que el empleado es el eslabón más débil dentro de la empresa. De hecho, el 80% de los ataques que se producen son debidos a fallos humanos. No se trata de empleados malintencionados, sino que, en muchas ocasiones, el desconocimiento y la desinformación juegan un papel crucial. Es vital formar a los empleados en buenas prácticas y que conozcan aquellos comportamientos que puedan poner en riesgo la seguridad.

Un área de formación que no se puede detener

La ciber debe formar parte debe un aprendizaje continuo, nunca podemos detenernos ni dejar de aprender porque eso significaría quedarnos atrás. Las organizaciones del cibercrimen cada vez están más organizadas y no paran de innovar; de ahí la importancia de no parar de formarse para poder prevenir sus ataques.

Según un estudio de PWC, el nivel de cultura de ciberseguridad en las compañías españolas es de 2,8 sobre 5, es decir, tenemos un nivel de conocimiento muy básico, lo que significa que aprobaríamos “por los pelos”. Tan solo se destina un 9% del presupuesto total de seguridad a temas de concienciación y formación, algo que poco a poco está cambiando, pero aún lo hace muy lentamente lo que nos muestra que queda mucho camino por recorrer. La formación en ciberseguridad dota a la plantilla de unos conocimientos básicos, pero de suma importancia, que les permiten prevenir, detectar y actuar ante incidentes de seguridad. Algo que supone la diferencia entre sumarse a la larga lista de organizaciones víctimas de ciberataques o mantener a salvo su actividad y su información corporativa.

¿Qué aporta la concienciación?

La concienciación es ahora mismo la mejor defensa que una compañía puede tener. Una plantilla concienciada:

  1. Reduce significativamente el riesgo de sufrir un ciberataque.
  2. Posee un mayor conocimiento para evitar posibles incidentes.
  3. Ahorra costes y evita posibles multas por brechas de ciberseguridad.
  4. Protege la información de la empresa.

Los empleados no son conscientes de las consecuencias devastadoras que puede tener hacer clic en un simple enlace, descargar un archivo recibido por un remitente desconocido, insertar un pen drive de origen desconocido en su unidad de trabajo o utilizar siempre la misma contraseña reduciendo así el nivel de seguridad. Parecen temas muy obvios pero el día a día de las organizaciones y el ritmo frenético en muchos casos hacen de este tipo de fallos la puerta perfecta de entrada para un malware y los graves problemas que eso conlleva.

Una de las principales recomendaciones para incrementar la seguridad de nuestra empresa es que cada empleado acceda, única y exclusivamente, a la información necesaria para desarrollar su labor. Cuantos menos accesos se produzcan a los archivos mayor será su seguridad.

Las organizaciones han sufrido una transformación digital a una velocidad totalmente inesperada en muchos casos y es el momento de echar el freno, pensar si realmente nuestra empresa es cibersegura y si nuestros empleados son conscientes de los peligros que pueden acceder a la misma de manera digital. Una vez hecho este análisis, lo más probable es que nos demos cuenta de la falta tanto de formación como de concienciación que existe en nuestra plantilla, por lo que es el momento de ponernos manos a la obra y ponerle remedio antes de que sea demasiado tarde.

Fernando Carrazón es COO de BOTECH.