Ciberseguridad: el mayor riesgo de las empresas está en sus empleados

Ciberseguridad: el mayor riesgo de las empresas está en sus empleados

A medida que los ataques en el ámbito de la ciberseguridad han ido ganando atención, las organizaciones han avanzado enormemente en su lucha para evitarlos.

Los consejos de administración han impulsado la necesidad de establecer, para evitar posibles fugas de información, planes de control para evitar los riesgos con terceros, contar con un seguro cibernético o disponer de marcos de actuación para cumplir con el GDPR, al mismo tiempo, permitan obtener certificados como la ISO 27001 o SOC 2. Pero, a pesar de todo ello, se siguen produciendo ataques o fugas de información y las estadísticas muestran que, en la mayoría de los casos, los trabajadores son la raíz del problema.  

Los fallos en ciberseguridad apuntan a los trabajadores

En un informe emitido por Verizon, que cubre 86 países y en el que se analizan cerca de 41.000 casos relacionados con la seguridad de la información, muestra que más de 2.000 fugas de información, estuvieron relacionadas con los empleados y con el correo electrónico como punto de entrada más frecuente. Los datos son sorprendentes: un 52% tienen que ver con la piratería, un 33% implican ataques sociales, un 32% se refieren a suplantaciones de identidad y en un 28% de los casos usan malware. Pero lo más significativo es que un 28% de todas ellas se pueden rastrear directamente hasta personas dentro de la organización. 

¿Cómo se llega a esta situación? Una de las razones es que, a menudo, las empresas adoptan un enfoque de silos y asignan la ciberseguridad a un equipo específico en vez de incorporarla a la política corporativa mediante acciones impulsadas y aplicadas desde la alta dirección. Otra de las causas es considerar la transformación digital como máxima prioridad pero ignorar sus amenazas, lo cual permite el desarrollo de problemas de ciberseguridad relacionados con los profesionales de la empresa. Pero el error más destacado es no proporcionar a los empleados una preparación adecuada en temas de ciberseguridad, para que les aporte los conocimientos necesarios para tomar decisiones correctas cuando ocurra algún incidente. 

Un desafío doble

No tener una formación eficaz en ciberseguridad es un claro punto de mejora de las compañías, aunque muchas de ellas están impulsando acciones en ese sentido. Un 86% tienen o están trabajando en un programa contra las amenazas en materia de ciberseguridad; de ellas, un 36% ya tienen uno que puede responder a los ataques internos, mientras que un  50% lo está creándolo. A pesar de estas cifras, un 53% admitió haber sufrido ciberataques durante el año 2018 (según los últimos datos disponibles) y un 90% aún se sienten expuestas al peligro. Y con motivos. El coste medio de una fuga o robo de datos es de unos 4M de dólares (otras estimaciones alcanzan los 8M de dólares) y precisan cerca de un año para identificarlas y resolverlas. Lo cual quiere decir que algo no funciona: los trabajadores están recibiendo formación pero no están aprendiendo, lo que significa que no están lo suficientemente preparados en esa materia. 

Las empresas también deben afrontar los posibles riesgos derivados de las implementaciones, lo que puede explicarse por una escasez de recursos. Los expertos de la industria afirman que se necesitan dos trabajadores a jornada completa para poner en funcionamiento, de manera adecuada, un programa de capacitación en ciberseguridad. Los CISO (los directores de seguridad de la información, Chief Information Security Officers, por sus siglas en inglés) y los profesionales del área de IT suelen ser los que toman las decisiones en materia de ciberseguridad -selección de proveedores, testing metrics-. Pero es posible que la formación no sea su principal objetivo y que, por cuestión de plazos y unos recursos internos limitados, se decanten por la opción más sencilla, como seleccionar vídeos llamativos que pueden no ser el método más efectivo. Esto deriva en un programa formativo inadecuado que da una falsa sensación de seguridad llevando a las empresas en situación de vulnerabilidad frente a incidentes y brechas de información más complejos que tienen como consecuencia costes desde un punto de vista financiero y de reputación. 

Formación tradicional vs. formación eficaz 

Los sistemas de formación están evolucionando, pero muchos de ellos no se plantean de manera adecuada para el modo en el que se aprende actualmente. Los elementos esenciales del aprendizaje eficaz están cambiando y controlar la capacidad de aprendizaje de los trabajadores puede mejorar los resultado en su adquisición de conocimientos.

Al comparar la formación de los programas tradicionales con otros más eficaces, se evidencia que los primeros se basan en métodos de aprendizaje intuitivo que crean un efecto ilusorio de control de lo aprendido, se les reconoce por sus técnicas sencillas de intensas repeticiones, de lecturas reiteradas y prácticas excesivas para estimular la memoria. Este tipo de programas terminan con una prueba que precisa una calificación que valide su aprobación. Pero no funcionan, si lo hicieran, las fugas o brechas de información serían anecdóticas, en vez de un problema masivo que está presente en las empresas de todo el mundo. 

El aprendizaje contraintuitivo es diferente, y por eso es más efectivo. Se basa en reconocer que el aprendizaje útil depende tanto de la adquisición de conocimientos y habilidades, como de la memoria, por lo que la información asimilada puede recuperarse en el momento que se necesite. Este sistema aprovecha una serie de técnicas (mayores esfuerzos y dedicaciones para captar nuevos conceptos que mejoran el rendimiento; identificación de conceptos clave; pruebas y autoevaluaciones; mnemotecnia para recuperar gran cantidad de información…) que se apoyan en la investigación científica.

El camino que hay que seguir

La formación en ciberseguridad sigue siendo una de las principales prioridades para los directivos, pero se trata de una meta cambiante: a medida que las empresas aplican nuevas técnicas para frenar las infracciones, los hackers siempre van un paso por delante. Por lo que estos programas formativos deben mejorar su eficacia para que los trabajadores lleguen a estar preparados adecuadamente para tomar las decisiones correctas cuando se produzcan incidentes en la seguridad.

La efectividad de este tipo de programas puede influir positivamente en los beneficios empresariales pues, además de eliminar la necesidad de contar con personal adicional (lo que supone ahorrar en salarios, en ventajas para empleados y productividad), también puede evitar pérdidas millonarias en posibles ataques cibernéticos que pudieran producirse. 

Por último, un programa de formación en ciberseguridad que sea eficaz debe emplear métodos de aprendizaje que impulsen un cambio de comportamiento constante y a largo plazo, que enseñe a los  trabajadores cómo adoptar nuevos hábitos en ciberseguridad. Debe comenzar con una evaluación de conocimientos, seguida de técnicas de capacitación de última generación y unidades de aprendizaje interactivas basadas en la psicología cognitiva y en los principios científicos del conocimiento. Sumado a un amplio soporte de implementación durante un programa de un año, este tipo de formaciones puede convertir a los empleados en un cortafuegos humano que proteja a su empresa de los ataques, amenazas e infracciones cibernéticas. 


José Antonio Castrillo

José Antonio es Senior Manager del Área de Consultoría y GRC (Governance, Risk Management & Compliance). En 2014 se incorporó a Mazars como Senior Manager del área de Governance, Risk , Internal Control y Compliance. José Antonio es licenciado en Derecho, Máster en Dirección y Gestión de la información y Tecnología y Máster en derecho de Nuevas Tecnologías, Certificado CISA; CISM;CGEIT por ISACA así como Auditor de SO 27000 por BSI.

José Antonio Castrillo
 

Nuestra web utiliza cookies para proporcionarte un mejor servicio, si continuas navegando entendemos que estás de acuerdo. En nuestra política legal, de privacidad y cookies, puedes ver más información o cómo cambiar la configuración. Más información.

Los ajustes de cookies de esta web están configurados para "permitir cookies" y así ofrecerte la mejor experiencia de navegación posible. Si sigues utilizando esta web sin cambiar tus ajustes de cookies o haces clic en "Aceptar" estarás dando tu consentimiento a esto.

Cerrar