En la medida que las empresas y las personas abrazan la tecnología en sus actividades diarias, las soluciones técnicas y de software que tratan de protegerlos de las amenazas relacionadas con la ciberseguridad se han multiplicado.

Actualmente, y a pesar de ser conscientes de las amenazas cibernéticas, los avances de tecnologías relacionadas con la ciberseguridad y a pesar del refuerzo constante de equipos especializados en enfrentarse a amenazas de forma coordinada a nivel privado y público, lo cierto es que la frecuencia y los costes de las brechas de datos continúan en aumento. Y en esta preocupante realidad las personas siguen siendo el eslabón más débil en la cadena de seguridad. Invertir y desarrollar una cultura de ciberseguridad en las empresas puede ayudar a disminuir el riesgo del factor humano en esos casos.

Y es que establecer una cultura de ciberseguridad aboga por la necesidad de que todos, incluyendo también al equipo ejecutivo y de gestión, participen por igual en la ciberseguridad, que es esencial para aumentar la capacidad de resiliencia de una compañía.

Pero vayamos por partes. Si las personas son el eslabón más débil en la cadena, es lógico que la ciberseguridad empiece en el nivel del individuo. Los empleados deben estar activamente involucrados en el engranaje de ciberseguridad de una empresa principalmente por una razón: tienen el acceso a equipos, sistemas y redes de la empresa que en muchos casos guardan información sensible.

Y hay casos muy sonados, como el de Equifax. En 2017 la compañía, una de las firmas de informes crediticios más importantes del planeta, sufrió un ataque que dejó expuesta la información de 143 millones de consumidores en EEUU. La investigación reveló que la combinación de seguridad usuario-contraseña era extremadamente débil. Esto abrió las puertas a terceros a acceder a datos personales de millones y millones de usuarios.

Otro caso de enorme relevancia e impacto fue el de Wannacry que afectó a 200.000 equipos de empresas estratégicas de 150 países de todo el globo, entre los que destaca Telefónica. Especular sobre si podía haberse evitado o no puede ser demasiado pretencioso, aunque los expertos coinciden: este tipo de ataques pueden evitarse o al menos se puede reducir el riesgo con medidas preventivas. La protección del puesto de trabajo es la principal vía de entrada de esas infecciones. Según Gartner, cerca del 80% de los ataques producidos en 2016 aprovecharon esa puerta de entrada.

Muchas veces las herramientas tradicionales como los antivirus no son eficaces y hay que apostar por otras herramientas capaces de detectar ataques de ransomware u otros llamados de día cero. Cifrar los datos en el puesto de trabajo, hacer copias de seguridad y sobre todo denunciar los ataques a organismos como el Incibe, la Policía o la Guardia Civil, son otros aspectos a tener en cuenta.

Pero además de tener en cuenta estos aspectos técnicos, debe inculcarse una sabiduría entorno a la ciberseguridad. Ésta debe subyacer a todas las acciones.

Para inculcar una verdadera cultura de la ciberseguridad es recomendable comenzar por poner en marcha planes formativos que ahonden en el asunto. Una técnica atractiva recomendada por expertos en la materia es la de meter a ejecutivos y empleados en la misma sala para que compartan experiencias, una forma de educación colectiva. Esta forma de diálogo genera una conexión entre los participantes y da pistas sobre las fortalezas y debilidades del conocimiento sobre ciberseguridad que tienen quienes componen la empresa.

Más allá de esta fórmula de compartición, hay otras maneras de mejorar la cultura de la ciberseguridad.

Para empezar es fundamental insistir en que el concepto de seguridad es de toda la empresa y no única y exclusivamente un asunto del departamento de ciberseguridad. En el caso concreto de Uber por ejemplo, se están llevando a cabo muchas iniciativas y creando “programas por departamentos y por cargos, para que los empleados entiendan que la seguridad es parte de su día a día”, explicó la máxima responsable de seguridad en la compañía, Samantha Davison, a un reconocido medio.

Otro de los aspectos de vital importancia es la de formar para que sean capaces de detectar lo que es una amenaza, antes incluso de mostrarles los efectos de una brecha.

Así, las empresas deben entender que la formación de sus empleados en materia de ciberseguridad es una inversión más, equiparable por qué no, a las inversiones en soluciones tradicionales de protección de infraestructuras.