Joan Pérez, BDM Integración y Ciberseguridad. CASMAR
Las empresas suelen confiar la seguridad de la información, o dicho de otra manera, la ciberseguridad a su departamento TIC o a un proveedor externo especializado, pensando que, si algo falla, la culpa es de estos. No obstante, la responsabilidad en ciberseguridad es de todas las personas que pueden acceder y/o tener conocimiento de toda esta información.
Las tecnologías avanzan muy rápido y se hacen cada vez más complejas. Pero las personas no evolucionan tan rápido como la tecnología, y a veces, la brecha tecnológica de conocimiento y capacitación es amplia. Esta brecha pone en riesgo a toda la organización. ¿Te imaginas un operario industrial trabajando con máquinas peligrosas sin la formación de seguridad necesaria? Hoy en día sería inconcebible. En el mundo digital pasa lo mismo. En este caso, en vez de proteger la integridad de la persona, la formación en ciberseguridad tiene como objetivo proteger los activos digitales de la organización, que cada vez son más importantes. El usuario es la pieza más clave de la ciberseguridad.
Podemos poner las medidas más exhaustivas, implementar las tecnologías más novedosas, más caras o complejas, disponer de las mejores políticas, pero ello no impide que un usuario puede dar información por teléfono a quien no debe, descargar una aplicación maliciosa, realizar una transferencia errónea o caer en otro tipo de suplantación de identidad.
Los usuarios son susceptibles a la ingeniería social, arte que permite a un atacante «hackear la mente humana» y exponer datos que el usuario sabe o puede facilitar. Ya sea por desconocimiento o mala intención, un usuario puede conectar un USB desconocido, facilitar información relevante por teléfono, utilizar y reutilizar contraseñas débiles, visitar webs maliciosas o ejecutar un archivo adjunto infectado, entre otras acciones.
BRECHA DE CONOCIMIENTO
El conocimiento de los atacantes, es muy superior al de los usuarios, y aprovechan esta brecha de conocimiento para realizar ataques a las organizaciones. Si bien el trabajo de la dirección y departamentos tecnológicos son de vital importancia, también lo es la formación de todos los empleados.
El Reglamento General de Protección de Datos ya indica la obligación de formar a los empleados para la correcta gestión de datos personales. Esta formación no debe ser estática, sino que debe de entrar en el ciclo de mejora continua. De esta manera, junto con una correcta gestión de los roles, procedimientos y herramientas de ciberseguridad, las empresas logran blindarse contra la mayor parte de ataques cibernéticos.
*¿Quieres leer el artículo completo? Pincha aquí
