Cómo aumentar la concienciación en ciberseguridad

Concienciación en ciberseguridad
Cómo aumentar la concienciación en ciberseguridad
¿Sabías que el 95% de los ciberataques han tenido éxito gracias a la intervención humana? Es hora de comenzar con la concienciación en ciberseguridad.
La ciberseguridad es actualmente una de las preocupaciones más importantes para cualquier empresa, administración pública o persona, cada día nos encontramos noticias de empresas que han sido «hackeadas» o conocemos a alguien a quien le han robado sus perfiles en redes sociales
Según datos proporcionados por Insight Enterprises, el 78% de los líderes de seguridad TI suponen que sus organizaciones no tienen suficiente protección contra los ciberataques a pesar de las grandes inversiones realizadas en el sector durante todo el período 2020.
Por su parte, la Organización International de Policía Criminal (INTERPOL) asegura que las ciberamenazas cambian de manera deliberada, adaptándose perfectamente a las conductas de los usuarios.
El factor humano en la ciberseguridad
Es cierto que la tecnología es la primera defensa frente a la ciberamenazas, disponer de soluciones tecnológicas que eviten o minimicen la posibilidad que los ciberataques tengan éxito es algo básico para cualquier organización.
Pero la tecnología no es infalible y los ciberdelincuentes cada vez utilizan técnicas más sofisticadas y disponen de mayores recursos, en especial, los grupos organizados de ciberdelincuentes e incluso aquellos equipos que están bajo el mando de gobiernos.
En el otro extremo están las personas, que utilizan herramientas tecnológicas en sus puestos de trabajo, que no han sido formadas, que no conocen las amenazas y los riesgos a los que están expuestos y que por supuesto son susceptibles de caer en técnicas de Ingeniería Social, al fin y al cabo son personas y como los sistemas de información, también poseen sus propias vulnerabilidades.
A día de hoy, la mayor parte de los ciberataques que tienen éxito, más del 90%, son debidos a la interacción humana, provienen de técnicas de Ingeniería social, como el phishing y suelen terminar en la ejecución de un ransomware en los sistemas informáticos de las empresas donde trabajan.
¿Cómo minimizar este riesgo?
En este artículos no hablaremos de qué tecnologías o servicios debemos implementar en las organizaciones para minimizar el riesgo de sufrir un ciberataque. Vamos a centrarnos en las personas, en el factor humano y en qué podemos hacer para convertir a los empleados de las organizaciones en «firewalls humanos» es decir, en parte de nuestras defensas frente a los ciberataques.
La clave es la concienciación en ciberseguridad
¿Cómo aumentar la concienciación en ciberseguridad?
Lo primero es entender que la concienciación en ciberseguridad debe de ser parte de la cultura de la organización y que aplica a todos los empleados de la misma, sea cual sea el cargo que ocupen. También es importante entender que no deber ser «para todos por igual», cada persona es distinta, cada persona ocupa un puesto diferente, tiene más o menos responsabilidades y trabaja con más o menos información sensible. Por tanto, es importante tratar de personalizar las acciones que se tomen en lo relativo a la concienciación en ciberseguridad de los empleados.
Formación:
Es fundamental formar a nuestros empleados en el correcto uso de las herramientas tecnológicas y de la información que manejan en sus puestos de trabajo. Deben de saberlas usar correctamente y deben de saber como utilizarlas de forma segura. También en importante formar a nuestros empleados en los conceptos básicos claves relativos a ciberseguridad (phishing, navegación segura, contraseñas seguras, etc.). De esta manera, la ciberseguridad dejará de algo externo, lejano y que no forma parte del día a día de los empleados; cuanto más habituados estén a la ciberseguridad menos reticentes serán en su proceso de concienciación.
Campañas de ingeniería social:
Realizar campañas periódicas de ingeniería social es fundamental para las organizaciones. No solo para poder poner a prueba sus medidas de seguridad, sino para poder medir el grado de concienciación real y la respuesta de nuestros empleados frente a un ciberataque real. De esta manera sabremos que empleados o grupos de empleados son más susceptibles de caer en un ciberataque y podremos tomar medidas especiales al respecto.
Lo importante en este caso es que los empleados lo perciban «como un juego» y no como un examen, una prueba o como parte de su evaluación. Hay que conseguir que se impliquen y que vean estas acciones como parte de su formación, de su proceso de aprendizaje y evolución en la organización.
Certificaciones:
En la actualidad existen varias certificaciones de ámbito nacional e internacional, como son la ISO27001 o el Esquema Nacional de Seguridad, que certifica el nivel de seguridad de los servicios certificados acorde a estos estándares y normas. En general su objetivo es certificar servicios y su mayor utilidad es para la organización en si. Pero como parte de estas certificaciones está la elaboración de un Sistema de Gestión de la Seguridad de la Información (SGSI), un documento muy útil para todos los empleados de la empresa y que puede aportar mucho valor para que los empleados conozcan, entre otras cosas, cual es la política de seguridad de la organización.
Plataformas de concienciación:
En la actualidad, existen en el mercado gran variedad de Plataformas que permiten combinar la formación con campañas, de forma muy dinámica, interactiva y a largo plazo. Estas herramientas son un apoyo fundamental a las acciones formativas y campañas que se realicen de forma puntual.
¿Cómo empezar?
Lo ideal es contar con empresas especializadas que tengan experiencia y que sean capaces de identificar las necesidades de cada organización y que puedan diseñar la mejor solución y servicio en cada caso.
Como hemos dicho, cada organización es distinta y por supuesto cada persona también, no todo sirve a todos por igual, hay que definir bien una estrategia y contar con los mejores profesionales y herramientas para asegurar el éxito y por tanto para poder minimizar el riesgo al que a día de hoy todos estamos expuestos.
SECUORA: especialistas en concienciación en ciberseguridad
En SECUORA ayudamos a las organizaciones en sus procesos de aumento de la concienciación en ciberseguridad. Disponemos de múltiples servicios que se adaptan a cualquier tipo de empresa o administración pública y contamos con los partners y soluciones líderes del sector.
Disponemos de Formación en ciberseguridad para directivos, para empleados y para departamentos técnicos.
Implementamos Campañas de Ingeniería Social de todo tipo, desde las típicas campañas de phishing hasta las más sofisticadas técnicas de vishing, smishing, etc. pudiendo llegar hasta la realización de ejercicios personalizados in-situ utilizando para ellos medios personales y técnicos de todo tipo.
En SECUORA somos partners de KYMATIO para España, la plataforma líder y más innovadora del mercado. Esta plataforma (KYMATIO), muy útil también para áreas de Recursos Humanos y de Calidad, nos permite personalizar las campañas al máximo, tratando a cada persona de forma individualizada y consiguiendo altísimos porcentajes de colaboración (por encima del 85%) y minimizando el riesgo hasta niveles bajísimos (por debajo del 10%)
Si deseas conocer como te podemos ayudar en la concienciación en ciberseguridad de tu organización, contacta con nosotros.
Conoce nuestros programas de formación y concienciación en ciberseguridad
- El SOC de SECUORA en la Red Nacional de SOC - 28 de septiembre de 2022
- SECUORA certifica su SOC en la ISO 27001 - 23 de septiembre de 2022
- SECUORA certifica su SOC en el nivel medio del Esquema Nacional de Seguridad (ENS) - 20 de septiembre de 2022