Con la desmaterialización de los procesos, la adopción de buenas prácticas de ciberseguridad es esencial.
Según el informe 2021 Fraude y Ciberdelincuencia Barómetro , 2 de cada 3 empresas han sufrido al menos un intento de fraude en el último año, y 1 de cada 5 empresas ha sufrido más de 5 ataques. Además, una de cada dos empresas ha notado un aumento de estos ataques tras la generalización del teletrabajo. En un contexto de desmaterialización de los procesos y documentos, de crecimiento del volumen de datos y de trastornos en la organización del trabajo, la adopción de buenas prácticas de ciberseguridad es esencial.
No sólo la dirección de la empresa puede tomar medidas: los empleados también tienen un papel que desempeñar en la prevención de los riesgos de seguridad. ¿Cuáles son las mejores prácticas? Esto es lo que analizaremos en nuestro artículo.
Ciberseguridad: ¿por qué es importante implicar a los empleados?
Anticiparse a los riesgos e implantar las herramientas adecuadas es la primera línea de defensa en ciberseguridad. Sin embargo, tendemos a olvidar el papel esencial que desempeña cada empleado en la protección de la empresa frente a los riesgos de ciberataque. Es cierto que el 90% de los ciberataques que tienen éxito implican errores humanos y que los puestos de trabajo son la principal fuente de brechas de seguridad. Sin embargo, una política de ciberseguridad que implique a los empleados permite luchar contra estos fallos, prevenir los riesgos y reforzar el arsenal de protección de la empresa contra los piratas informáticos. Así, los empleados suficientemente concienciados e informados sobre los riesgos de seguridad informática son los principales baluartes contra los ciberataques. Para que los empleados comprendan la importancia de la ciberseguridad, sobre todo teniendo en cuenta los riesgos que un ataque supondría para la empresa (riesgos financieros, de reputación, materiales, etc.), es esencial integrar la seguridad y la protección de datos en la cultura de la empresa. Como tal, el riesgo cibernético debe ser una parte integral de la cultura de riesgo de la empresa y todos los empleados deben entender los problemas. La plena implicación de los empleados es, en efecto, un medio eficaz de sensibilización.
Pero no se trata de basarse únicamente en la teoría, con la introducción de una carta informática no vinculante, por ejemplo. La política de ciberseguridad apoyada por los empleados debe anclarse en la realidad y basarse en ejemplos concretos para que se comprenda mejor la realidad de los peligros a los que se expone la empresa. Para lograrlo, se puede poner en marcha toda una serie de buenas prácticas.
Buena práctica 1: Asegurar el entorno de trabajo
La seguridad de los datos debe estar en el centro de la política de ciberseguridad de la empresa. Para ello, el Departamento de Seguridad de los Sistemas de Información (ISSD) debe dar prioridad al uso de herramientas y equipos procedentes de la empresa y que hayan sido asegurados previamente. En este sentido, es importante recordar a los empleados que debe evitarse el uso de herramientas, software o soluciones externas a la empresa (o no validadas por ella), debido a los riesgos que conlleva.
Se puede establecer una VPN(red privada virtual) para proteger todos los datos de la empresa, incluso cuando los empleados trabajan a distancia. Para adaptarse a los nuevos usos del trabajo híbrido, podría contemplarse la centralización de los datos en una nube privada. Esta herramienta permitirá a todos los empleados acceder a sus datos y documentos en cualquier momento, independientemente de dónde se encuentren.
Por último, el DSI también puede establecer un proceso de gestión de riesgos para informar de los problemas de seguridad encontrados por los empleados. Esto puede hacerse mediante una dirección de correo electrónico especialmente dedicada, que se da a conocer a todos los empleados, o un grupo de chat interno.
Buena práctica 2: Sensibilizar y formar a los empleados
Como los empleados suelen ser el primer objetivo de los ciberataques, es importante concienciarlos de los riesgos y retos de la seguridad informática. Para ello, puede empezar por explicarles las múltiples consecuencias de un ciberataque: interrupción de la actividad, daños a la reputación, pérdida de confianza de los clientes, pérdidas financieras, etc. Todas estas consecuencias tendrían un impacto directo en la actividad de los empleados.
Se pueden seguir varias vías para aumentar la concienciación. Además de redactar una carta informática, que debe servir de referencia y ponerse en conocimiento de todos los empleados (incluidos los más veteranos), la introducción de cursos de formación obligatorios puede ser una forma eficaz de concienciar a los empleados.
👉 El objetivo: sensibilizar sobre los riesgos que corre la empresa en materia de seguridad informática y poner de relieve los buenos reflejos que hay que adoptar a diario.
Por último, pueden organizarse ejercicios prácticos para hacer de las cuestiones de ciberseguridad un tema arraigado en la realidad. Por ejemplo, el DSSI puede organizar una falsa campaña de phishing para mostrar a los empleados cómo identificar direcciones de correo electrónico falsas y cómo protegerse de los riesgos que el phishing plantea a la empresa: pérdida o filtración de datos, usurpación de identidad, pérdidas financieras, etc.
Buena práctica 3: Organizar simulacros de ciberataque
La formación teórica en ciberseguridad proporciona una base sólida, pero no es suficiente. Para implicar plenamente a los empleados y concienciarlos de los riesgos informáticos, puede ser interesante organizar simulaciones de ciberataques (o pruebas de penetración), durante las cuales la empresa tendrá que hacer frente a las consecuencias de un falso ataque. Este tipo de inmersión no sólo permite a los empleados comprender, desde un punto de vista práctico, la importancia de protegerse contra los ciberriesgos, sino también aprender a reaccionar cuando se produce un ataque real.
Buena práctica 4: Aplicar una política de lucha contra la TI en la sombra
¿Sabía que el 68% del malware procede de la nube y de las TI en la sombra?
TI en la sombra es un fenómeno a gran escala que se refiere a un conjunto de usos de TI que no están regulados ni controlados por la empresa. Por ejemplo, puede tratarse de un empleado que utiliza en su puesto de trabajo un software que no ha sido aprobado por el ISSD. Multiplicada por todos los empleados de la empresa, esta práctica puede resultar rápidamente peligrosa.
De ahí la importancia de tomar medidas contra las Shadow IT, en particular reforzando la formación y la sensibilización de los empleados en el uso de las TI, pero también estableciendo normas de gobernanza y recordándoles periódicamente la importancia de utilizar únicamente soluciones validadas por la dirección de los sistemas de información. Lo esencial no es ignorar el problema, sino tenerlo en cuenta en la política de lucha contra los riesgos informáticos.
Aspectos a tener en cuenta
📌 Hay varias formas de combatir un ciberataque.
📌 La formación de los empleados es una de las formas de combatir un posible ciberataque.
📌 Aplicando buenas prácticas, es posible reducir el riesgo de ser víctima de un ataque informático.
