Capacitar a los empleados de los bancos para protegerse de los ciberataques
Los ciberataques no sólo son cada vez más frecuentes, sino que se han convertido en algo significativamente más atroz y sofisticado. En la actualidad, la mayoría de las violaciones de datos se producen como consecuencia de errores humanos, lo que hace que la seguridad cibernética sea un “problema personal” además de tecnológico.
La solución no puede ser solamente la adquisición de hardware o software nuevo o la implementación de sofisticadas pruebas de redes. Implica cultivar una mentalidad totalmente nueva en los empleados en cuanto a la seguridad cibernética, basada en la concienciación continua y el establecimiento de acciones y decisiones seguras como prioridad en la cultura empresarial.
Las violaciones cibernéticas pueden tener repercusiones financieras importantes. Algunos de los costes son directos y se incurre en ellos cuando los bancos remedian el daño causado. Además de esos gastos directos, sin embargo, hay un daño más grave. Los costes indirectos de una violación de datos son de gran alcance y pueden continuar mucho después de la reparación del daño inmediato. Cuando los clientes, socios y otros grupos de interés conocen un caso de violación de datos, se empaña la reputación de la institución. El nombre de la empresa y su marca se ven asociados al riesgo de la información sensible, de las finanzas y de la seguridad.
El Índice de Inteligencia y Seguridad Cibernética de IBM de 2015 reveló que el 95% de las violaciones cibernéticas ocurren como resultado de un error humano. Según esta investigación, la media de los problemas de seguridad detectados se redujo a 81 millones en 2014 desde los casi 92 millones en 2013, pero el número de incidentes permaneció constante. Mientras que los intentos se redujeron un 12%, el número de ataques con éxito no sufrió cambios. Aunque están mejorando los esfuerzos de detección, también lo están haciendo los criminales. Esto hace que el elemento humano en la seguridad cibernética sea más esencial, y añade cierta urgencia para detectar métodos más eficaces para hacerle frente.
El empleado medio, en general, no reconoce su propia función en la defensa de seguridad cibernética o las consecuencias de sus acciones. Afortunadamente, los riesgos significativos que representan los empleados que hacen clic, pulsan y realizan búsquedas pueden mitigarse con eficacia con una cuidadosa campaña de seguridad cibernética que incluya tres elementos claves.
Lograr un mayor interés
Cualquier programa eficaz de seguridad cibernética debe comenzar con este elemento humano —hacer que los empleados participen en el asunto y ayudarles a ser más receptivos sobre las actividades de aprendizaje o sensibilización.
Crear sensibilización y conocimiento
Cuando los empleados se interesan, se puede crear una campaña de sensibilización que alerte a los profesionales sobre los riesgos claves y les permita tomar las decisiones correctas al trabajar online, al usar dispositivos o gestionar la información corporativa. Las empresas deben crear sensibilización de forma continua entre sus empleados de todos los niveles.
Los empleados deben contar con estrategias, normas y conocimiento básico sobre los riesgos cibernéticos y sobre cómo mitigarlos. La formación y la sensibilización no son lo mismo (aunque las dos pueden trabajar codo con codo), y cada una de ellas crea un nivel diferente de protección. Un programa de sensibilización debe integrar una capa profunda e instintiva de conocimiento en las acciones automáticas que realizan los empleados.
Crear y desarrollar un programa de mejores prácticas en seguridad cibernética es sólo el primer paso. Los programas deben ser revisados y valorados sistemática y cuidadosamente a lo largo del tiempo —para identificar, implementar y realizar pruebas de las posibles mejoras que puedan hacer que el programa sea incluso más eficaz.
Valorar el enfoque de la empresa
Para valorar la eficacia de las acciones llevadas a cabo por la empresa, es importante medir la sensibilidad, actitudes, conocimiento y motivación de los empleados en cuanto a los materiales, políticas y formación que se les ha impartido sobre seguridad cibernética.
Unas preguntas cuidadosamente concebidas en una encuesta pueden ayudar a establecer el conocimiento actual de los empleados y sus niveles de sensibilidad en relación con la información y las políticas de seguridad cibernética proporcionadas por la empresa.
Si se utilizan con eficiencia, los tres elementos claves pueden cultivar una cultura de sensibilidad cibernética en la que los empleados reconocen y evitan las situaciones de riesgo y toman acciones instintivas.
Cuando los empleados están adecuadamente preparados, no verán los ciberataques como amenazas basadas en tecnología. Estarán motivados para salvaguardar los sistemas y la información de la empresa, reconociendo que tienen una función importante para mantener la seguridad de los datos y los sistemas.
Artículo publicado en el blog Financial Services de Mazars
