La concientización en ciberseguridad como asunto primordial.

Los miembros de la junta directiva ocupan una posición altamente privilegiada y tienen acceso a la información corporativa más delicada que existe. Sin embargo, las estadísticas muestran que hasta el 68% de las empresas no tienen un conocimiento profundo de cómo mantener la seguridad de los datos. Esto no sólo representa un riesgo importante para la seguridad, sino que también reduce las posibilidades de que se adopten en toda la empresa conocimientos efectivos sobre seguridad.

Los ejecutivos de alto mando establecen el escenario para la cultura de cualquier organización, incluyendo el grado de conocimiento de la seguridad; eso es exactamente por lo que la junta directiva debe dar ejemplo al adoptar y promover programas integrales de capacitación y concienciación sobre ciberseguridad para los empleados como parte de la estrategia general de defensa.

Treinta y ocho mil millones de problemas.

No hay duda de que las organizaciones están hoy en día bajo mayor amenaza. Sólo Trend Micro bloqueó más de 38.000 millones de amenazas en la primera mitad de 2017. Muchas de estas amenazas buscaban aprovechar los bajos niveles de conciencia sobre la ciberseguridad entre los empleados, sabiendo que todo lo que se necesita es un clic para dejar entrar a los delincuentes informáticos.

Por eso el phishing es tan popular. De hecho, más de tres cuartas partes (76%) de las organizaciones que fueron encuestadas a principios de año afirmaron haber sido golpeadas por un ataque de este tipo, con más de la mitad (51%) afirmando que el índice de ataques está aumentando. El phishing puede entregar a los delincuentes informáticos las llaves del reino, especialmente si logran obtener cuentas privilegiadas que les permitan acceder a la red corporativa, dándoles una ruta directa a datos altamente sensibles.

El ransomware es otra amenaza que a menudo llega en forma de correo electrónico malicioso. Estos ataques son increíblemente costosos, por ejemplo, el gigante marítimo danés Maersk, perdió hasta 300 millones de dólares debido al ataque global del ransomware NotPetya. El usuario sólo necesita abrir un archivo adjunto de correo electrónico malicioso o hacer clic en un enlace malintencionado para infectar a toda una organización global.

Registro de brechas del 2013 al momento de la publicación de este artículo.
¿Por qué es importante la capacitación?

Con tanto en juego desde el punto de vista financiero, así como desde el punto de vista de la marca y la reputación, las organizaciones no pueden darse el lujo de permitir que las brechas de datos o las interrupciones dañinas en el servicio resulten de errores del personal. Por lo anterior, los miembros de la junta directiva deben entender que la capacitación integral en ciberseguridad para todo el personal es esencial para una ciberdefensa eficaz.

Los miembros de la junta directiva necesitan liderar estos esfuerzos, para que puedan actuar como modelos a seguir dentro de la organización, y para asegurarse de que están preparados para lidiar con el compromiso del correo electrónico empresarial y otros ataques dirigidos. No importa en qué tipo de organización te encuentres: ahora estás en el fuego cruzado de los ciberdelincuentes.

Es deber del departamento de ciberseguridad difundir este mensaje a la junta. En las conversaciones con la alta dirección, es crucial mantener las cosas cortas y concentrarse en el impacto comercial del personal poco capacitado. Pero incluso si los programas de entrenamiento obtienen luz verde, hay muchas opciones disponibles, y no todos los programas darán los resultados deseados.

Algunos programas de capacitación no van más allá de la inducción, por ello, es importante establecer un enfoque de aprendizaje continuo, utilizando lecciones interactivas durante todo el año, seguidas de retroalimentación práctica. También es importante informar regularmente para asegurar que una organización no pierda de vista sus objetivos.

Hay ciertos pasos que están dando algunas organizaciones que los están posicionando como líderes en ciberseguridad. El Royal Bank of Scotland (RBS) observó que experimentaban un aumento en la entrada de malware “drive by” en su sistema a través del correo electrónico, por lo que implementaron un programa de concienciación sobre seguridad para mejorar las habilidades de seguridad de los usuarios de correo electrónico del banco. Iniciaron el proyecto de formación en febrero de 2016, y los resultados fueron asombrosos, con tasas de clics de los empleados en correos electrónicos de phishing simulados cayendo del 47% en agosto de 2016 al 22% en octubre de 2016. Hoy en día, RBS tiene menos del 10% de sus usuarios finales cayendo por ataques de phishing simulados.

El cambio de comportamiento toma tiempo y no debe ser visto como un ejercicio de cumplimiento basado en casillas de verificación (simples auditorias). Su objetivo es transformar a largo plazo la cultura corporativa que evoluciona la organización, con el tiempo, a una cultura en la que todos comprendan la importancia de una ciberseguridad fuerte.

Aun con todos los beneficios de implementar un programa de concientización, existen muchas empresas que no consideran este recursos sino hasta cuando ya han sufrido una intrusión.

¿En tu organización cuentan con un programa de concientización?

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *