Lo cierto es que la teoría se sabe. Tanto usuarios como empresas conocen lo importante que es cuidar la ciberseguridad, pero no todos le prestan la atención que deberían. «Muchas organizaciones de medio tamaño y usuarios no ponen remedio hasta que tienen un problema. No solemos prever una situación de riesgo primero porque como usuarios no valoramos el impacto que puede tener, solo lo hacemos cuando un malware nos ha secuestrado el equipo, ha filtrado toda nuestra información o cuando se nos rompe el disco duro y no tenemos una copia de seguridad. Es ahí cuando empezamos a tomar medidas… Cuando no se tiene un plan de contingencia o no se cuenta con la ciberseguridad como un elemento diferenciador del negocio se suelen poner parches a medida que se van sucediendo los problemas», detalla Marco A. Lozano, coordinador de empresas y profesionales de Incibe. «Hay que tener en cuenta que la ciberseguridad es un concepto de creación bastante reciente y que, por tanto, hay mucha gente que no tiene del todo claro en qué consiste y cómo les afecta. Muchas de las dudas que nos trasladan van relacionadas con qué hacer para prevenir ser víctimas de un incidente de ciberseguridad», explica Asier Martínez Retenga, Head of CSIRT del Basque Cybersecurity Centre. Así, mientras que las grandes empresas sí suelen estar más preparadas para hacer frente a estos problemas, las pymes deberían hacer una pequeña evaluación de riesgos que les permita ver cuáles son los procesos más críticos. Formación «Por ejemplo, tener una web a través de la que se hacen el 80% de las ventas es un elemento que hay que proteger sí o sí, por lo que se deben buscar aquellos mecanismos que permitan prever el impacto de una amenaza, considerar cómo se puede responder ante ella y, sobre todo, cómo recuperar el sistema en el caso de que se materialice la amenaza. Es algo relativamente sencillo pero a veces son servicios caros, por eso hay que poner en una balanza si merece o no la pena correr esos riesgos», destaca Lozano. «Al usuario se le engaña con técnicas que llamamos de ‘ingeniería social’. Todos somos susceptibles de ser objetivo de un ciberdelincuente, cometer un error o meter la pata en un determinado momento porque aunque uno esté más preparado para identificar una amenaza que una persona que no está usando tecnología, si alguien se trabaja una estrategia o engaño lo suficientemente elaborado también podría ser un objetivo», reconoce el experto de Incibe. De ahí que sea especialmente importante tratar de formar y concienciar a ese perfil que según los datos genera el 85% de los incidentes, es decir, llevar a los propios usuarios a una línea de aprendizaje relacionada con la ciberseguridad de tal modo que sean capaces de identificar las amenazas y, por ende, generar menos impacto en el ámbito personal y en el profesional. Tratar de darles las pautas adecuadas para evitar los riesgos conocidos –que generan el 60% de los incidentes–, y que sean capaces de utilizar las tecnologías con seguridad», reclama el experto de Incibe. Por eso puntualiza que «el usuario no es el eslabón más débil de la cadena sino el que más hay que reforzar». Por otro lado, también hay que estar informado de todas las amenazas y problemas que llegan y evolucionan para tener siempre la oportunidad de aplicar contramedidas capaces de contenerlos. Concienciación «En coordinación con los departamentos de Educación y de Seguridad del Gobierno vasco, impartimos jornadas de concienciación en colegios con el objetivo de mostrar a los docentes y alumnos los riesgos derivados del uso de internet y de las nuevas tecnologías, y les enseñamos pautas de actuación básicas para evitar ser víctima de un incidente de ciberseguridad», expone Martínez Retenga. «También trabajamos con agrupaciones empresariales como cámaras de comercio, clústeres, etc. para fomentar que eleven su nivel de madurez en ciberseguridad de cara a que estén más protegidos frente a las ciberamenazas y que pueda utilizar la ciberseguridad como una ventaja competitiva, ya que cada vez es más habitual que las compañías exijan cierto nivel de protección a sus proveedores», cita el experto del Basque Cybersecurity Centre. Porque, en definitiva, «invertir en concienciación en ciberseguridad, es invertir en el futuro de la sociedad», concluye.
