¿En qué se basa la concienciación?
En el mundo de la seguridad informativa, se dispone de una gran cantidad de productos, servicios, aplicaciones, appliances, y cachivaches varios, que se implantan en las empresas para garantizar la seguridad de estas.
Así mismo, existen normativas regulatorias, que dictan la necesidad de disponer de diferentes normativas internas, procedimientos de uso seguro, e, incluso, certificaciones varias que ayudan a asegurar las empresas.
Gracias a todas estas medidas técnicas y normativas, se han ido creando en las empresas diferentes capas de seguridad que permiten garantizar la ciberseguridad, tanto de la infraestructura de estas, como de los datos gestionados y almacenados.
Todo ello, ayudan a impedir que los ciberdelincuentes consigan vulnerar a las empresas, y haciendo que les sea, cada vez más complicado, acceder a los datos corporativos.
Todo esto, los ciberdelincuentes lo saben. Pero en las organizaciones, no solo tenemos equipos informáticos y servicios, sino que también hay persona (los empleados de la empresa), que hacen uso de estos, y que, gracias a los accesos que se les concede para realizar su trabajo diario, se transforman en un objetivo para los ciberdelincuentes.
¿Por qué son un objetivo tan goloso?
Porque, cuando una empresa busca un profesional para un puesto determinado dentro de esta, habitualmente, se evalúan los conocimientos de dicho profesional en el ámbito de sus tareas diarias. Pero, nunca, o muy rara vez, se pregunta le pregunta si sabe qué es un phishing, un ransonware, o un fraude del CEO, y, mucho menos, si dispone de los conocimientos suficientes para detectar un ataque de este tipo y poder, de esa manera, evitar un riesgo para la empresa.
Es por ello responsabilidad de la empresa preocuparse de que sus empleados, esos a los que se ha concedido un acceso a internet y al correo electrónico, conozcan los riesgos y ataques a los que están expuestos, para que puedan hacer lo posible por evitar que afecten de manera negativa a la orgainzación.
Para ello, se deben realizar acciones encaminadas a corregir rápidamente dichas carencias:
- Formaciones presenciales (ahora desgraciadamente en remoto) para que los empleados conozcan esas amenazas y empiecen a utilizar hábitos seguros en el entorno digital.
- Entrenamiento continuo, basado en envíos de falsos ataques que permita que los empleados estén prevenidos.
- Incrementar el conocimiento de los empleados en materia de ciberseguridad mediante envío continuos de información útil en materia de ciberseguridad.
Como decía Derek Bok, rector de la Universidad de Harvard:
“Si crees que la formación es cara, prueba con la ignorancia”
Y ojo, que esta cita, los ciberdelincuentes, también la conocen.