Cada vez más empresas abordan planes para sensibilizar a sus trabajadores en ciberseguridad, conscientes del riesgo que entraña la falta de concienciación y el desconocimiento de las normas básicas. En esta nota le contamos lo que dicen los últimos informes al respecto y le compartimos una serie de tips para que aconseje a su cliente empresarial.
Repsol lleva más de dos años inmersa en una campaña para concienciar a sus empleados sobre ciberseguridad. Vídeos con un toque de humor sobre, por ejemplo, lo que puede hacer un troyano en la computadora, cartelería digital con recomendaciones, SMS con consejos de seguridad, salvapantallas, etc., conforman una extensa batería de acciones de este plan que tiene como objetivo sensibilizar a los empleados de la importancia de seguir unas normas básicas para no comprometer la seguridad de la empresa.
Repsol no es una excepción. Cada vez son más las empresas que abordan planes de este tipo, conscientes de que el empleado es el eslabón más débil en ciberseguridad.
La ciberseguridad se ha convertido en un tema prioritario para muchas organizaciones. De hecho, algunas grandes entidades financieras y eléctricas como Iberdrola están dando formación a sus comités de auditoría y consejos de administración para que sean conscientes al más alto nivel de la importancia de este aspecto.
«Todos tienen que estar involucrados, empezando por el consejo. La formación, concienciación y sensibilización del personal de ciberseguridad en de las áreas donde más estamos invirtiendo», reconocía recientemente Enrique Victorero, director de Seguridad Internacional de Iberdrola, en un foro sobre seguridad.
Según un estudio de Cisco basado en una encuesta a 1.000 trabajadores, los empleados son un eslabón muy débil en la cadena de ciberseguridad. La falta de conciencia y el desconocimiento, más que la malevolencia, los convierte en una continua fuente de riesgos. Según este informe, menos de la mitad de los trabajadores cree que tienen una responsabilidad a la hora de salvaguardar datos corporativos.
Fenómenos como las redes sociales, la nube y el uso de dispositivos personales en el trabajo han difuminado las fronteras entre lo profesional y lo personal, lo que exige que los empleados sigan unas normas básicas de seguridad para no comprometer la seguridad de las empresas. Según un estudio de Aruba, casi un tercio de los trabajadores admite que ha perdido datos corporativos debido al mal uso del dispositivo móvil.
La incorporación al mercado laboral de los millennials, una generación acostumbrada a compartir su vida privada en redes sociales, abre nuevos riesgos en la empresa, que se enfrenta a casos de fuga de información en estas redes.
La solución no es imponer políticas muy restrictivas que pueden tener un impacto negativo sobre la productividad. «Hay que alfabetizar a los empleados para reducir incidentes de ciberseguridad», aseguró Ramón Ortiz, responsable de Seguridad de Mediaset, quien señala que hay personas que se resisten a aplicar medidas de seguridad porque las consideran «incómodas».
Las empresas se han dado cuenta que una parte muy importante de los problemas en ese ámbito se deben al desconocimiento de medidas básicas por parte de sus empleados, que en un alto porcentaje tienden a ser confiados.
Esta actitud explica por qué se expanden rápidamente en las empresas ataques de ingeniería social que, en los últimos meses, han afectado a muchas empresas. Son, por ejemplo, correos electrónicos con supuestas notificaciones de Correos que buscan que el usuario descargue un archivo adjunto que instala un software malicioso en la computadora.
Hay estudios que indican que, en función del grado de sensibilización en temas de seguridad en una compañía, entre el 5% y el 25% de los empleados cae en ataques de phishing.
Incibe cuenta en su web con un kit de concienciación que ayuda a las empresas a fomentar un hábito de seguridad en sus empleados. Pueden recurrir a recursos gráficos, vídeos interactivos o documentación variada. Incluso han creado dos ataques «cebo» que permiten a las empresas evaluar el nivel de concienciación en seguridad y despertar en sus empleados el interés por aprender más sobre prevención y seguridad de la información.
Por ejemplo, las empresas pueden dejar una serie de llaves USB colocadas estratégicamente para ver qué empleados abren un archivo (confidencial.exe), que al ser ejecutado, muestra al usuario un portal web advirtiéndole del peligro que supone lo que acaba de hacer.
