Cómo mejorar la concienciación sobre ciberseguridad de los empleados

El bum de ciberataques que se ha producido en los últimos años, unido a la profusa difusión que han tenido algunos de ellos, ha hecho que las empresas, sobre todo las grandes y medianas, de una vez se hayan concienciado de los riesgos que corre su información. Sin embargo, todavía muchos empleados siguen sin tener conciencia de estos peligros.

Eso los ciberdelincuentes lo saben. Y precisamente por esa razón ponen el foco en el llamado “eslabón humano”, el más débil de la cadena. Saltarse un cortafuegos es una tarea ardua y para expertos. Sin embargo, mandar millones de e-mails con un enlace fraudulento y esperar a que una mínima porción de los receptores pique, es más rápido, sencillo y barato. Y, además, suele dar buenos resultados.

El phishingse ha convertido en el principal vector de ataque y está pensado para aprovechar el despiste o la ingenuidad de los empleados y de los particulares cuando están en plena faena, abriendo y enviando correos, contestando a un WhatsApp, modificando un documento ofimático o simplemente navegando por la web. Así de fácil. Los ataques más graves muchas veces llegan por los descuidos más tontos. Este problema, además, se ha complicado desde que estalló la pandemia por el bum del teletrabajo y la descentralización de la información y de las tareas que eso supone.

El presupuesto medio dedicado a formación y concienciación sólo es un 9% del total de la inversión en ciberseguridad de las empresas, según PwC

Son muchos los que opinan que la mejor defensa informática no está siquiera en la tecnología, sino en la formación a las plantillas y en la toma de conciencia, del primer al último empleado, de la exposición a la que se someten.

Sin embargo, la situación de partida no es buena. Un estudio de PwC publicado el año pasado decía que el 86% de las firmas de este país reconocen que no tienen cultura de ciberseguridad o que deberían mejorarla.  “El sector empresarial español está en proceso de tomar conciencia de la necesidad de establecer un plan de cultura, capacitación y concienciación en ciberseguridad”, aseguraban los autores del informe.

La cultura en el ámbito de la ciberseguridad se manifiesta en conocimientos, hábitos, percepciones, actitudes, normas y valores de las personas en relación con la protección de la información. Tener cultura de ciberseguridad significa, entre otras cosas, saber qué es el phishing y sospechar de los correos fraudulentos, gestionar con precaución las redes sociales, hacer un buen uso de las contraseñas, no fiarse de las wifi públicas o preocuparse por tener actualizado el software de los equipos.  

Además de no tener cultura de ciberseguridad, PwC detectaba el problema de que la inmensa mayoría de las compañías no es capaz de medir de forma homogénea el nivel de concienciación de sus empleados en esta materia. Ni el éxito de las campañas para mejorar la concienciación. Y, como dato más ilustrativo, el estudio señalaba que el presupuesto medio dedicado a formación y concienciación sólo es un 9% del total de la inversión en ciberseguridad. Hay, pues, mucho trabajo pendiente.

Medidas para un plan de concienciación de la seguridad informática

Para que las empresas sean capaces de concienciar de la mejor manera a sus empleados y así defenderse de los ataques que se aprovechan de la ingenuidad o el descuido de estos, ofrecemos aquí algunos consejos. Son puntos que debería contemplar un buen plan de concienciación:    

  • La gerencia de la compañía debe estar involucrada en la tarea. La participación y el apoyo de la alta dirección es fundamental para que el ejemplo cunda.
  • Todo el personal debe estar involucrado. No vale si se hace con un departamento y no con el resto. Al fin y al cabo, la ciberseguridad es una cuestión colectiva.
  • Es importante lanzar ejercicios prácticos y evaluaciones de conocimiento, para ver si la plantilla está interesada y va adquiriendo buenos hábitos.
  • El programa debe ser realista. Por ejemplo, no conviene restringir el correo electrónico o las redes sociales, sino fomentar un uso adecuado.
  • Hay que ayudarse de herramientas de concienciación, como salvapantallas de advertencia, alertas generadas por el ordenador, mensajes de correo electrónico o formación específicas.
  • Es importante hacer simulacros de ataques (campaña de e-mailings con adjuntos supuestamente fraudulentos, por ejemplo) para saber hasta qué punto la plantilla está interiorizando la cultura de la ciberseguridad.  

¿Necesitas un experto en Ciberseguridad?