Formar en seguridad digital a los usuarios.

Un tema capital del que queremos escribir hoy.

Alrededor del 95% de los incidentes de seguridad tienen su vector de entrada en una debilidad o vulnerabilidad de seguridad relacionada con el uso de la tecnología de los usuarios (Fuente).

Tan sencillo y tan preocupante como esto.

Por muchos esfuerzos que realicen las empresa en cuanto a inversión en seguridad, el factor con mayor riesgo seguirá teniendo graves deficiencias de seguridad.

Los motivos por los que los usuarios son tan vulnerables pueden tener múltiples razones:

• Despreocupación
• Irresponsabilidad
• Desconocimiento
• Falta de inversión en seguridad
• Falta de formación empresarial
• Desidia

Y, aunque la mayoría podría parecer que es responsabilidad exclusiva del usuario, debemos comenzar a pensar que no es así. Es la empresa la responsable última de que sus empleados puedan disponer de herramientas fáciles de usar y de protocolos de seguridad fácilmente comprensibles y aplicables.

Pensemos que hay multitud de organizaciones, tanto de carácter comercial como público, que dedican muchos esfuerzos en diseñar herramientas que permitan integrar buenas medidas de seguridad con poca complejidad en cualquier tipo de estructura empresarial.

Cada día más, es más fácil estar protegido. No tengamos las ambición de conseguir el 100% de seguridad, pero apliquemos todos los esfuerzos que estén a nuestro alcance para que las acciones despreocupadas o inconscientes de los empleados no supongan una debacle para las corporaciones.

Y, ¡ojo!, es muy importante pensar que, cuanto mayor es el desastre provocado por un ataque de seguridad, mayor cargo tenía la persona que ha sido vulnerada. Es decir, que cuando hablamos de empleados, no estamos hablando solo de empleados con un perfil bajo de responsabilidad. Estamos hablando de perfiles de carácter ejecutivo o de dirección. Los atacantes son perfectamente conscientes que la información más sensible está en manos de las partes altas de una jerarquía empresarial.

Es por todo esto que debemos pensar que, cualquier eslabón de la cadena de responsabilidad en cuanto a seguridad, es susceptible de ser atacado.

Phishing, ingeniería social, malware… las técnicas son muy sofisticadas e, incluso, parece razonable caer con cierta facilidad en las trampas que nos ponen los atacantes.

Como decíamos, existen ya multitud de herramientas que nos ayudan a implantar medidas de seguridad razonablemente buenas y con bastante facilidad de uso. Además, ya no solo es una cuestión de esas herramientas sino de ciertas políticas de seguridad corporativa.

Entre otras, algunas interesantes:

• Creación de políticas de seguridad
• Creación de usuarios y grupos con asignación de permisos de acceso
• Una buena políticas de backup (Backup 3-2-1)
• Sistemas MDM y/o MAM
• Protección con MFA
• FORMACIÓN, FORMACIÓN y FORMACIÓN

Hemos dejado el último punto para hacer hincapié sobre él porque es importante, formar en seguridad digital a los usuarios, todo y que lo consideramos el punto fundamental, parece ser que es el menos llevado a la práctica.

En ICM, desde hace ya algunos años, implantamos la ISO 27.001 y 27.701 y eso significó un cambio importante en cómo gestionábamos la información tanto nuestra como la de nuestros clientes.

En ese proceso de certificación (y sus revisiones anuales), la norma le da una importancia vital al proceso de formación y de concienciación de toda la plantilla. Es decir, tanto en su implantación inicial como en las sucesivas revisiones, uno de los puntos fundamentales que el auditor revisa es qué cantidad de información han recibido los usuarios en cuanto a formación y qué procesos de concienciación ha realizado la empresa para hacer partícipes a los usuarios de que son piezas fundamentales a la hora de que toda la corporación esté protegida.

Creemos fundamental este proceso de formación en seguridad digital de toda la plantilla. Y más que hacerles «estudiar» ciertas materias que tienen que ver con la ciberseguridad, simplemente son procesos de concienciación con todos los usuarios corporativos: explicar ejemplos de ataques, sensibilizarles con la responsabilidad que tenemos para con los datos de la empresa y de sus clientes, las nuevas técnicas de ataque y lo fácil que es y lo prudentes que deben ser y todo lo que tenga que ver con los excesos de confianza que suelen ocurrir en la base de un ataque a usuarios corporativos. La seguridad es responsabilidad de todos los usuarios de una empresa. Cada uno es responsable de sus acciones y de las consecuencias que éstas tienen. Debemos explicarlo, formar y concienciar a toda la estructura empresarial.