En cualquier empresa, crear una cultura de ciberconciencia tiene que formar parte de una estrategia de seguridad de TI a largo plazo. Sin embargo, en realidad las empresas no suelen ir más allá de algún tipo de formación básica en ciberseguridad para los empleados. Está bien, porque tampoco se puede crear una cultura de concienciación en un día. Pero ¿por dónde puedes empezar?
El éxito de las medidas de ciberseguridad en una empresa depende no solo de los expertos en seguridad de TI o los administradores de TI, sino también de cada persona que accede a los sistemas de TI de la empresa, desde el CEO hasta los empleados, pero también los estudiantes en prácticas y los colaboradores externos. Es decir, en cierta medida cada uno de nosotros es responsable de la protección de los datos de la empresa.
Piensa en la cultura de ciberconciencia como algo que surge de la cooperación de todas las personas de la organización. Todo el mundo puede hacer algo para que sea mejor.
Si eres responsable de la seguridad de TI en tu organización, esta es una manera de garantizar que todo el mundo dentro de la empresa entiende la importancia de una conducta segura en línea y la gestión adecuada de los dispositivos corporativos.
1) Asegúrate de que todo el mundo sabe lo que hay que hacer y lo que no
Esto no es tan fácil como parece. En todas las empresas encontrarás empleados que ignoran las notificaciones del software para actualizar o aquellos a los que no les importa qué aplicaciones descargan a sus dispositivos de empresa. Puede que hagan todo esto porque no saben que apps específicas pueden causar graves daños, o simplemente porque están muy ocupados para pensar en ello y confían en el departamento de TI para gestionar todos esos problemas y riesgos.
Hay diferencias en las políticas que aplican las empresas respecto a cuántas restricciones o libertades tiene cada empleado en la gestión de sus dispositivos electrónicos. Sin embargo, la mejor manera de impedir incidentes es explicar a todos los empleados desde el principio cuáles son los riesgos y cómo evitarlos. Por otra parte, asegúrate de que has ofrecido una guía clara sobre cómo actuar si finalmente acaba pasando algo. Asegúrate de que los empleados saben qué tienen que hacer y a quién pueden notificarlo.
2) Invierte tiempo en una formación de calidad, en cooperación con expertos de otros campos
Los expertos de TI con experiencia conocen las características técnicas de los ciberataques, así como las situaciones en qué esos incidentes se producen. Pero eso no es suficiente para impartir una formación realmente buena. «La clave es encontrar a alguien que presente la información a los empleados de una manera clara e interesante», explica Daniel Chromek, director de seguridad de la información de ESET, en una entrevista sobre cómo crear una cultura de ciberconciencia.
Indudablemente, un buen punto de partida es establecer un programa formal de formación en ciberseguridad en tu empresa. Si quieres asegurarte de que tu público te escuchará, tienes que dar algunos pasos más. Implica en la formación a expertos en pedagogía, psicología y gráficos, que te ayudarán a impartir la información clave de una manera impresionante y al mismo tiempo divertida.
Psicólogos o formadores con experiencia pueden añadir elementos interesantes a la formación, por ejemplo, el conocimiento de los trabajos de la psicología social puede ayudarles a entender de qué manera la tecnología afecta a actitudes, conductas e interacción social. La ingeniería social funciona a partir del miedo, la presión del tiempo y el chantaje. En consecuencia, es buena idea entender también esos contextos.
¿Qué tipo de personalidad tiende a hacer clic en enlaces de phishing? Lee "Cibercología: el factor humano de la ciberseguridad"
3) Utiliza incidentes como ejemplos para ilustrar los daños que puede causar un ciberataque
Si se produce un incidente de ciberseguridad en tu lugar de trabajo, utilízalo como herramienta para profundizar en la formación de empleados y directivos por igual. Al rememorar esos eventos, puedes mejorar de un modo significativo la concienciación sobre ciberseguridad en toda la organización. Te permiten ilustrar cómo es un ciberataque actualmente, por qué es tan eficaz y cuáles son sus posibles consecuencias.
Una manera de comunicar todo esto puede ser mediante un boletín corporativo. Pero si tus colegas están acostumbrados a comunicarse por otro canal, como MS Teams o Slack, saca partido de ello.
4) Controla las tendencias en ciberdelincuencia
Una de las funciones de los gestores de TI es mantenerse al corriente de los eventos de ciberseguridad. Dado que los ciberataques están en constante evolución, debes estar al día de las noticias y tendencias más recientes.
El modo fácil es crear el hábito de comprobar periódicamente una plataforma profesional importante, por ejemplo, el blog de ESET WeLiveSecurity y el blog de ESET España Protegerse, que advierte sobre los nuevos tipos de ciberataques y ofrece consejos sobre protección.
Si en las noticias se comenta algo realmente importante, aprovecha la oportunidad para que todos los empleados lo conozcan. Solo procura ser razonable con la frecuencia y la importancia de estas alertas, de lo contrario tus colegas en seguida dejarán de leerlas.