En una época de aumento de los ciberataques y del teletrabajo, la ciberseguridad de las empresas es más importante que nunca. Uno de los factores de riesgo es la negligencia humana. La consultora de seguridad Hélène Courtecuisse analiza la importancia de concienciar a los empleados sobre las buenas prácticas y cómo hacerlo..
Cuando se trata de ciberseguridad, hay dos formas de ver la dimensión humana: considerar que el elemento humano representa un eslabón débil, la "negligencia humana", o decidir que sea el eslabón fuerte. Evidentemente, las dos percepciones se complementan, pero es esencial no centrar el diálogo en la primera, que sigue siendo negativa y un tanto derrotista.
Sobre todo porque el problema ya existía antes de la era de la transformación digital. Era diferente, porque Internet acababa de empezar. Los sistemas no eran abiertos y, sin smartphones ni ordenadores portátiles, la seguridad de las empresas no tenía los problemas que conlleva el mundo móvil actual. Pero las violaciones de la confidencialidad no estaban menos vinculadas a la negligencia humana. Como había mucha desconfianza ante el espionaje físico, las empresas tenían que confiar en que sus empleados aplicaran ciertas buenas prácticas, como guardar los documentos bajo llave.
Puede que la tecnología sea diferente hoy en día, pero a los empleados de las empresas se les sigue pidiendo que tengan cuidado. Lo que ha cambiado son las precauciones básicas y los riesgos.
Riesgos difíciles de evaluar
Para empezar, los riesgos son más complicados de entender. Son más variados y, a veces, mucho más técnicos. Adoptan formas diferentes que pueden desconcertar a los no expertos. Por no hablar del hecho de que los ataques son "silenciosos" y totalmente invisibles. Puede que no se dé cuenta, por ejemplo, de que un sitio web en el que quiere hacer una compra, sea o no de una marca conocida, está infestado de un malware.
Cuando se trata de cibervigilancia, hoy en día hablamos de alta tecnología. Los ataques son más numerosos, más sofisticados y mucho más difíciles de contrarrestar. Aun así, concienciar a los empleados, incluso a los no especialistas, sobre los riesgos básicos no solo es posible, sino absolutamente necesario.
Obviamente, no podemos pretender abarcar todos los temas en un solo día. Es más, ni siquiera los especialistas pueden pretender aplicar todas las instrucciones a 100 %. En este campo, tenemos que renunciar a cualquier idea de perfección. En su lugar, tenemos que centrarnos en formar a las personas a lo largo del tiempo. En el caso de las OIV (Opérateurs d'importance vitale - operadores de importancia vital), que son empresas sujetas a la ley de programación militar (banca, alimentación, etc.), existen además obligación de ofrecer formación a todos los empleados al menos una vez al año. Las buenas prácticas deben evolucionar con la tecnología.
Amenazas que hay que (re)conocer
Actualmente existen dos categorías principales de ciberamenazas:
Suplantación de identidad
Un número impresionante de correos electrónicos de suplantación de identidad están circulando. Animan a la gente a hacer clic en un enlace, abrir un archivo adjunto y facilitar información personal. Hacer clic ya es bastante peligroso, pero aun así algunas personas caen en la trampa y facilitan la información solicitada. El problema, aparte de la falta de concienciación, es que los correos electrónicos de phishing son cada vez más creíbles. Mientras que hace algún tiempo se podía detectar un correo electrónico de phishing por su dudosa ortografía, ahora tenemos un formato casi perfecto que se confunde con el resto, por ejemplo facturas falsas con el logotipo de la empresa.
Malware y ransomware
El malware puede adoptar muchas formas. Especialmente sutil ransomware se instala como un programa. Comienza por desactivar el antivirus, luego se abre camino por la red, a menudo atacando primero las copias de seguridad. A continuación, procede a cifrar todos los archivos de los ordenadores y servidores a los que puede acceder. De este modo, las empresas atacadas no tienen más remedio que pagar el rescate para recuperar sus datos. Por desgracia, el pago del rescate no garantiza la recuperación de los datos.
La complejidad de estas amenazas se basa cada vez más en procesos financiados por una "crisis financiera". nueva mafia". Hay que olvidar la imagen del hacker solitario en su garaje: hoy hablamos de organizaciones con recursos financieros que contratan a hackers como empleados. En resumen, la ciberdelincuencia se ha industrializado.
Formar a los empleados en ciberseguridad: una cuestión de contexto
Para hacer frente a estas amenazas, es importante que las personas comprendan las instrucciones de ciberseguridad que se les dan. De lo contrario, es difícil ver la pertinencia de tantas listas de recomendaciones, instrucciones y buenas prácticas que a menudo son restrictivas... Formar a sus empleados no sirve de nada si no se asegura que comprenden mejor el contexto y, por tanto, que se adhieren y siguen motivados a largo plazo para aplicarlas.
El objetivo es, por supuesto, examinar los aspectos técnicos, por categoría de riesgo, pero sobre todo comprender mejor las buenas prácticas en juego. Cerrar la sesión y guardar los documentos, por ejemplo, son prácticas sencillas que entran en la categoría de riesgos debidos a la ingeniería social, una práctica manipuladora destinada a extorsionar información confidencial. En la categoría de riesgos de interceptación, es importante acordarse de cifrar los mensajes y archivos confidenciales cuando se envían, especialmente a alguien ajeno a la empresa. Y, sobre todo en relación con el ransomware mencionado anteriormente, recuerde hacer copias de seguridad periódicas de los documentos importantes en soportes externos, aunque, no lo olvidemos, el riesgo cero no existe y no se es inmune a la pérdida o al robo.
Poner en contexto estos conocimientos técnicos también nos permitirá estar al día de los últimos avances. Como las tecnologías evolucionan, los riesgos cambian y las instrucciones son menos fiables. Así que nuestro objetivo no será necesariamente formar expertos, sino sobre todo animar a la gente a adquirir un mayor dominio haciéndose preguntas. Hoy, el principal consejo que damos es: infórmese antes de confiar. ¿Es un sitio conocido? ¿Tiene buenas críticas en los buscadores? ¿No es dudoso ese enlace en Facebook? Al fin y al cabo, un empleado concienciado con la ciberseguridad necesita sobre todo tener un poco de conocimientos técnicos y una cierta dosis de desconfianza.
