¿Es necesario concienciar en Ciberseguridad a las empresas de España? ¿Tan importante es estar formado en la Ciberseguridad dentro de nuestro entorno laboral? La educación y la información fue, es y será poder, independientemente de cómo se plantee y en qué formato se pueda encontrar.
Cada día escuchamos más en los medios de comunicación ataques de Ciberseguridad, ataques o ciberataques a grandes empresas, y no tan grandes, donde se les roba información, o se impide que sus sistemas funcionen de la forma que deberían de hacerlo o donde incluso se usa información para chantajear a la empresa o para desprestigiar la marca o su reputación, y ya no sólo en las redes sociales, sino en el mundo digital y en el mundo real.
Y si esto pasa día a día, y si esto llega a cualquier persona que esté delante de la TV, ¿qué no percibirán aquellas personas que están dentro del mundillo de la Ciberseguridad? A la sociedad sólo llega un 20% de lo que realmente se mueve en este mundo.
Y si esto es así ¿porqué, aquí en España, el concepto Ciberseguridad sigue siendo tan poco rentable dentro de los negocios? ¿Por qué es tan difícil que una empresa tenga una persona encargada sólo de Ciberseguridad en su organización? ¿Por qué hay empresas que aún ven este concepto como un gasto y no como una inversión?
La respuesta a todas estas preguntas está claro que sólo tienen una respuesta: por falta de Concienciación. No se puede concretar que esta falta de concienciación sea del responsable del departamento de TI de la empresa o de sus superiores o de los dueños de las empresas o del consejo de administración o de todos ellos a la vez. Lo que sí se puede decir es que la falta de concienciación está haciendo mucho daño a este país, como decía un amigo mío: “Hay que esperar a que te muerda el perro para que te llamen”.
Debemos de mejorar nuestra visión de la Ciberseguridad en este país, debemos de concienciar, pero no sólo a los empleados (que también, ya que suelen ser el eslabón más débil de la cadena en la seguridad de la información), sino también a la alta dirección y a los responsables de la gestión de la empresa ya que es fundamental que el cambio cultural empiece por ellos, no por el simple hecho de que son los que manejan el avance de la empresa sino porque son ellos los que deben de dar ejemplo a sus empleados y deben de decidir invertir más presupuesto en la Ciberseguridad de su empresa.
Esto debe de hacerse no sólo en empresas de gran envergadura, debe de hacerse con independencia de que se trate de una gran empresa del Ibex 35 o de una pyme.
Igual que cuando salimos de casa cerramos la puerta con llave a pesar de que puede ser una incomodidad añadida y sería más fácil dejarla abierta y dejar de echar la llave, en Ciberseguridad debemos de tomar las medidas adecuadas para que nuestra empresa se encuentre protegida de la forma adecuada a pesar de las posibles incomodidades (comprensibles y asumibles) que eso puede acarrear.
La puerta que usemos en una casa puede ser distinta en función de esa casa y de qué haya dentro y del entorno donde nos encontremos, por eso igualmente las medidas de Ciberseguridad que se adopten en las empresas dependerán del sector, de la competencia, de qué información haya en sus sistemas,…
La concienciación se hace cada vez más necesaria conforme más avancen las tecnologías, ya que el ritmo de crecimiento es muy difícil de seguir por nuestras mentes y vemos siempre la usabilidad de los dispositivos y las facilidades de los mismos pero no llegamos a ver el peligro que puede llegar a encerrar el uso inadecuado de los mismos, ya sea por nosotros mismos, con o sin intención, o ya sea por terceros que quieran «ciberactuar» de forma no adecuada sobre los mismos. Ejemplo claro de ello es la movilidad, el uso de las nuevas tecnologías en el desempeño de nuestra actividad profesional unido a la facilidad de acceso a Internet, ha hecho que nuestro puesto de trabajo no tenga por qué existir como tal físicamente y sea un puesto móvil. De esta forma podemos trabajar desde cualquier parte y en cualquier momento. Igualmente nos puede pasar con el horario, hoy en día los sistemas que usamos trabajan 24 horas al día 7 días a la semana, 365 días al año y nosotros tenemos la facilidad de usarlos durante todo ese tiempo, y si no somos nosotros, son nuestros compañeros de otras partes del mundo quienes lo usan. De esta forma las empresas pueden cerrar sus puertas físicas todos los días a las 17h, a las 18h o a las 19h, pero desde el punto de vista digital nunca cierran, y hay que concienciar a todos los niveles de la necesidad de Ciberprotección continua.
Con la concienciación de los altos mandos se consigue que se vea la importancia de invertir en Ciberseguridad en las empresas, pero como hemos dicho antes, no sólo hay que conseguir que ellos estén concienciados, sino que hay que conseguir que los empleados lo estén. Pero en este caso el objetivo de la concienciación es distinto, el objetivo en este caso es conseguir que todas las medidas empleadas para proteger la Ciberseguridad de la empresa tengan su fruto, ya que las empresas pueden tener la mejor tecnología de Ciberseguridad implantada en sus sistemas de información pero un cibercriminal sólo necesita la ingeniería social y a lo mejor realizar una simple llamada a un empleado no concienciado y desprevenido para poder acceder sus entorno de trabajo y por lo tanto a la empresa.
Además la unión del entorno laboral y personal cada vez es mayor, y usamos a lo mejor un único dispositivo móvil para los dos, o usamos el portátil personal para entrar en el correo del trabajo o al revés, el portátil del trabajo para entrar en el correo personal. Esta unión aumenta el peligro de infección de los sistemas de información de la empresa; más motivos por el cual el empleado debe de ser concienciado de forma continua y de forma persistente.
¿Por qué no hacer, igual que hacemos por ley un curso de PRL al entrar en una empresa, un curso sobre la Ciberseguridad y la Ciberseguridad en concreto dentro de esa empresa? Si tan importante es nuestra salud en el trabajo, no lo es igual la salud de los sistemas de información de la empresa y por lo tanto el negocio de la misma, sin él nuestro empleo, y el de todos nuestros compañeros, no sería necesario.
Pero el cambio de cultura dentro del ser humano es aquello que más trabajo cuesta cambiar en el mundo laboral y prácticamente en cualquier aspecto de la vida de una persona. El ser humano es “animal de costumbre” y por lo tanto ese cambio cuesta, pero es necesario realizarlo, porque si no ponemos en serio peligro a nuestra empresa y por tanto a nosotros mismos laboralmente y, siguiendo con la cadena, a nosotros mismos personalmente. Por tanto debemos de intentar ser innovadores a la hora de concienciar a los empleados, debemos evitar cursos o formación que no acabe llegando al mismo. Hay que fomentar la gamificación, o las pruebas reales pero con consecuencias ficticias (simulacros, parecidos a los de seguridad física), cualquier aspecto formativo que ayude a la que retentiva del empleado de lo que se explica sea mayor y si además puede sacarle provecho en su ámbito personal de forma indirecta mejor que mejor. Debemos fomentar:
- Todos tenemos que proteger los activos de información, la imagen de nuestra empresa, nuestro puesto de trabajo y sus dispositivos.
- El primer movimiento de actuación debe de ser siempre de cautela.
- Ante la duda debemos de ser capaces de decir “no”, cuesta trabajo porque siempre queremos ser aceptados y las negativas no ayudan, pero es necesario, muy necesario.
- Hay que dejar de ver la Ciberseguridad como un dolor de cabeza, hay que verla en todo momento como una ayuda y colaboración para el desempeño de nuestras funciones.
Para la concienciación de los empelados hay que elaborar un plan previo, no es aconsejable formar por formar y mucho menos hacerlo de cualquier forma y sin haber establecido antes una estrategia en función de las necesidades, no sólo de la empresa, sino de los propios empleados. Nuestro plan formativo debe de basarse en:
- Nivel de concienciación de los empleados y de la empresa. Para conocer este aspecto se pueden usar una serie de simulacros no previamente avisados.
- Número de empleados y distribución de los mismos por las diferentes áreas de la empresa.
- Información crítica o confidencial de la empresa. Y no sólo la información sino las actividades críticas que pueda realizar esta empresa y por supuesto quien, dentro de la organización, contiene este tipo de información o realizan estas actividades.
- Disponibilidad de los empleados para recibir la concienciación.
Si hemos sido educados para hablar sin saber, si hemos sido educados para escribir sin saber, si hemos sido educados para manejar de forma acorde a nuestras necesidades un portátil y un Smartphone, ¿Por qué no podemos ser educados en los aspectos de Ciberseguridad que necesitamos?
Para finalizar sólo quiero animaros a que seas conscientes de la importancia de la Ciberseguridad en vuestro entorno de trabajo, que la practiquéis dentro de las posibilidades que la empresa pone a vuestra alcance y que fomentéis a que todos vuestros compañeros, vuestros jefes y vuestros subordinados hagan lo mismo que vosotros para tener un entorno lo más Ciberseguro posible.
¡Concienciaros y concienciar!
M. Alejandro Sánchez Sánchez
Sales Manager en Prosegur Ciberseguridad
MBA por la Escuela de Organización Industrial
Director de Seguridad por la Universidad Pablo de Olavide