En una época de aumento de los ciberataques y del teletrabajo, la ciberseguridad de las empresas es más importante que nunca. Uno de los factores de riesgo es la negligencia humana. La consultora de seguridad Hélène Courtecuisse analiza la importancia de concienciar a los empleados sobre las buenas prácticas y cómo hacerlo..
Cuando se trata de ciberseguridad, existen dos formas de abordar la dimensión humana: consideran que los humanos representan un eslabón débil, “negligencia humana”, o deciden convertirlos en el eslabón fuerte. Evidentemente, las dos percepciones se complementan; pero es fundamental no centrar el diálogo en el primero, que sigue siendo negativo y un tanto derrotista.
Tanto más cuanto que el problema ya existía antes de la era de la transformación digital. Era diferente, porque Internet acababa de empezar. Los sistemas no eran abiertos y, sin smartphones ni ordenadores portátiles, la seguridad corporativa no tenía los problemas que trae el mundo móvil de hoy. Pero las violaciones de la confidencialidad no estaban menos vinculadas a la negligencia humana. Como había mucha desconfianza ante el espionaje físico, las empresas tenían que confiar en que sus empleados aplicaran ciertas buenas prácticas, como guardar los documentos bajo llave.
Si hoy en día la tecnología no tiene nada que ver, siempre pedimos a los empleados de las empresas que tengan cuidado. Estas son las precauciones y riesgos básicos que han cambiado.
Riesgos difíciles de entender
Para empezar, los riesgos son más complicados de entender. Son más variados, a veces mucho más técnicos. Toman diferentes formas que pueden desconcertar a cualquiera que no sea un experto. Por no hablar de que los ataques se llevan a cabo “silenciosamente” y completamente invisibles. Puede que no nos demos cuenta, por ejemplo, de que una web en la que deseamos realizar una compra, sea o no de una marca conocida, está infestada de malware.
En términos de cibermalware, hoy hablamos de altas tecnologías. Los ataques son más numerosos, se han vuelto más sofisticados y mucho más difíciles de contrarrestar. Sin embargo, concienciar a los empleados, incluso a los no especialistas, sobre los riesgos básicos sigue siendo no sólo posible, sino totalmente necesario.
Evidentemente no pretendemos abarcar todos los temas en un día. Además, ni siquiera los especialistas pueden pretender aplicar todas las instrucciones al 100 %. En este ámbito hay que lamentar cualquier idea de perfección. En cambio, debemos centrarnos en capacitar a las personas a lo largo del tiempo. En el caso de las OIV (operadores de vital importancia), que son empresas sujetas a la ley de programación militar (banca, sectores alimentarios, etc.), también existen Obligación de garantizar la formación de todos los empleados al menos una vez al año.. Las mejores prácticas deben evolucionar con la tecnología.
Amenazas para (re)saber
Actualmente existen dos categorías principales de ciberamenazas:
Suplantación de identidad
Circula un número impresionante de correos electrónicos de phishing. Animan a la gente a hacer clic en un enlace, abrir un archivo adjunto y facilitar información personal. Hacer clic ya es bastante peligroso, pero algunas personas siguen cayendo en la trampa y facilitan la información solicitada. El problema, aparte de la falta de concienciación, es que los correos electrónicos de phishing son cada vez más creíbles. Si hace algún tiempo se podía detectar un correo electrónico de phishing por su dudosa ortografía, ahora tenemos un formato casi perfecto que se confunde con el resto, por ejemplo facturas falsas con el logotipo de la empresa.
Malware y ransomware
Malware que puede adoptar muchas formas. Particularmente sutil, el ransomware se instala como un programa. Comienza desactivando el antivirus, luego avanza por la red y, a menudo, ataca primero las copias de seguridad. Luego, comienza a cifrar todos los archivos en las computadoras y servidores a los que puede acceder. De esta forma, las empresas atacadas no tienen más remedio que pagar el rescate para recuperar sus datos. Desafortunadamente, pagar el rescate no garantiza que se encuentren sus datos.
La complejidad de estas amenazas depende cada vez más de procesos financiados por un “ nueva mafia ". Debemos olvidarnos de la imagen del hacker solitario en su garaje: hoy hablamos de organizaciones con medios económicos que contratan hackers como empleados. En resumen, el cibercrimen se ha industrializado.
Formar a tus empleados en ciberseguridad: una historia de contexto
Para hacer frente a estas amenazas, es importante que las personas comprendan las instrucciones de ciberseguridad que se les dan. De lo contrario, es difícil ver la relevancia de tantas listas de recomendaciones, instrucciones y buenas prácticas que a menudo resultan restrictivas... De nada sirve formar a tus empleados si no te aseguras de que comprendan mejor el contexto, y por tanto de que adherirse y mantenerse motivado a largo plazo para aplicarlos.
Se trata, por supuesto, de abordar los aspectos técnicos, por categorías de riesgo, pero sobre todo para comprender mejor las buenas prácticas resultantes. Cerrar la sesión y guardar los documentos, por ejemplo, son prácticas sencillas que entran en la categoría de riesgos por ingeniería social, una práctica de manipulación destinada a extorsionar información confidencial. En la categoría de riesgos de interceptación, debería pensar en cifrar mensajes y archivos confidenciales para enviarlos, especialmente a alguien ajeno a la empresa. Y en particular con el ransomware mencionado anteriormente, consideraremos hacer copias de seguridad periódicas de documentos importantes en medios externos, incluso si el riesgo cero, recuerde, no existe y no estamos protegidos contra pérdida o robo.
Contextualizar este conocimiento técnico también permitirá mantenerse actualizado. A medida que las tecnologías evolucionan, los riesgos cambian y las instrucciones se vuelven menos confiables. Por lo tanto, no buscaremos necesariamente formar expertos, sino sobre todo animar a las personas a adquirir dominio haciendo preguntas. Hoy, el principal consejo que damos es: infórmate antes de confiar. ¿Es conocido este sitio? ¿Tiene buenas críticas en los buscadores? ¿No es dudoso este enlace en Facebook? En definitiva, un empleado conocedor de la ciberseguridad debe tener sobre todo un poco de formación técnica y una cierta dosis de desconfianza.
