Cultura de Ciberseguridad, la mejor defensa
La mayoría de los empleados de cualquier compañía tienden a pensar que su departamento es el más importante. Esta visión no es del todo negativa, es síntoma de ser conscientes de la importancia de la labor que desempeñamos cada uno, siempre y cuando comprendamos también que nuestras actitudes y aptitudes deben estar al servicio del bien común.
Así, las compañías buscan el equilibrio entre los objetivos individuales, de cada persona y departamento, y los objetivos colectivos. Un ejemplo de esta transversalidad ha sido la evolución del concepto de marca dentro de las empresas. Hoy comprendemos que la necesidad de crear valor de marca debe ser compartida por todos y cada uno de los empleados. En este mismo marco debe desarrollarse el acercamiento de las compañías hacia la ciberseguridad.
En 2017 ha crecido exponencialmente el número de ciberataques. Pero también ha sido el año en el que por fin la ciberseguridad ha entrado en las estrategias de las empresas, independientemente de su tamaño y el sector en el que desarrollen su actividad. Pocos serán los que podrán decir que no han escuchado términos como WannaCry, Petya o Bad Rabbit.
Además, los ciberataques forman parte de la agenda informativa de los principales medios de comunicación, y no hay día que no escuchemos o leamos noticias sobre las últimas iniciativas llevadas a cabo por los ciberdelincuentes: softwares dañinos (malware), secuestro de datos o archivos para pedir posteriormente un rescate (ransomware), engaño a usuarios haciéndoles creer que están en una web segura o correos electrónicos en los que los usuarios pinchan en un enlace phishing.
Si tomamos como referencia los datos de Incibe sobre España, en 2014 se registraron 18.000 incidentes, en 2015 fueron 50.000, en 2016 se superaron los 115.000 y en 2017 la cifra alcanza los 120.000. El crecimiento es imparable y aunque parece que se ha estabilizado tenemos por delante un 2018 repleto de retos, de los que destacamos tres.
Este año entrará en vigor el nuevo Reglamento de Protección de Datos cuyo incumplimiento puede significar fuertes sanciones para las compañías; el auge del uso de las criptomonedas y el desarrollo de la inteligencia artificial introducirá nuevas vulnerabilidades; y asistiremos al crecimiento exponencial del número de dispositivos conectados a Internet, que según Gartner hoy podrían ser más de 8.000 millones y espera que en 2020 se superen los 20.000 millones.
Minimizar estos riesgos no es sólo responsabilidad del departamento de sistemas o de tecnología, si no que todos debemos formar parte de la seguridad de los datos de nuestra compañía. Desde programas de concienciación y formación a empleados, hasta contar con un software eficaz y consultores especializados, las compañías tienen a su alcance soluciones específicas de ciberseguridad para mejorar la gestión de este riesgo y estar preparadas.
¿Qué iniciativas deberían desarrollar las empresas en este nuevo paradigma? Una involucración directa del equipo directivo; conocer su negocio y ser capaces de identificar los riesgos y los puestos más críticos; realizar un inventario de los recursos que ya disponen; poner la seguridad a prueba con simulaciones; tener un plan de actuación ante incidentes; y concienciar y formar a todos y cada uno de sus empleados. Además, como una buena prevención no nos garantiza una protección total, deberemos complementar la estrategia de ciberseguridad con un seguro, para minimizar el impacto en el negocio ante un posible ataque, y ayudarnos a restablecer los sistemas y poder volver a operar lo antes posible con normalidad.
Con un solo clic podemos dejar los datos de nuestra compañía al descubierto, o generar un agujero que afecte a la disponibilidad de nuestro sistema. El eslabón más débil de la cadena será el menos formado o el menos consciente del problema al que nos enfrentamos. El riesgo cibernético va más allá del aspecto tecnológico y requiere que las distintas áreas de la empresa se involucren y se coordinen entre sí.
El diseño de nuestra política de privacidad y seguridad debe basarse en una estrategia de protección transversal. No hay equipo deportivo que consiga grandes éxitos en el que no exista una conciencia colectiva a la hora de defender, y una cultura de ciberseguridad será nuestra mejor defensa.
