En un entorno digital cada vez más amplio, dinámico y complejo, las organizaciones se enfrentan a una creciente amenaza por parte de ciberdelincuentes, que han pasado de ser aficionados a grupos organizados y profesionales. Estos atacantes, valiéndose de técnicas avanzadas como son la inteligencia artificial o el machine learning, aprovechan cualquier debilidad para comprometer a las entidades, consiguiendo lucrarse de ello a través de la extorsión y venta ilegal de sus datos. Ya se está viendo la eficacia de dichas técnicas en el lanzamiento de campañas automatizadas de phishing, vishing y smishing o de sofisticados ataques deepfake.
De hecho, según un informe reciente de Accenture, los niveles de disrupción por ciberataques han aumentado un 200 por ciento desde 2017, poniendo en jaque la resiliencia de muchas empresas. Sin embargo, a pesar de este aumento, no son pocas las organizaciones que aún no cuentan con un plan de gestión de cibercrisis efectivo y que siguen cometiendo errores críticos debido a la falta de formación y hábitos de seguridad en los usuarios y a fallos en las barreras tecnológicas.
¿Qué debe abordar un programa exitoso de concienciación sobre ciberseguridad?
Pese a que las organizaciones han incrementado sus recursos en ciberseguridad, la realidad desvela que sus esfuerzos no son suficientes. La deslocalización del puesto de trabajo se ha precipitado a una velocidad tal que no ha habido el tiempo suficiente para adaptar la mentalidad de las personas a esta nueva realidad. No se puede pretender que las personas alejadas al mundo cíber entiendan e interioricen los ciberriesgos con una píldora formativa cada cierto tiempo, un −en muchas ocasiones aburrido− curso de e-learning o cualquier otra acción puntual de concienciación.
Lejos de ello, la inserción de la conciencia cíber en el ADN cultural de una organización es un proceso continuo que requiere la orquestación de múltiples acciones a través de programas diseñados específicamente a tal fin. Y como no hay dos empresas iguales, tampoco debería haber dos programas de formación y concienciación iguales.
Para alcanzar este cometido, el éxito de un programa de concienciación radica en equilibrar las capacidades tecnológicas con un cambio sostenible en el comportamiento de los empleados. Su objetivo es «crear conciencia» y favorecer el paso de una involucración localizada y aislada de sus empleados a un compromiso global y sistémico de todos y cada uno de los actores de la organización, incluyendo a los colaboradores.
La inserción de la conciencia cíber en el ADN de una organización es un proceso continuo
Las empresas deben contar con los socios necesarios capaces de guiarles en la transición hacia a una concienciación continua y sostenible en el tiempo, facilitando multitud de recursos a sus plantillas: experiencias personalizadas y apoyadas en nuevas tecnologías que favorezcan el aprendizaje out of the box y el compromiso, programas data-driven que permitan definir las acciones y experiencias más efectivas y medir su adopción, programas basados en recompensa de los comportamientos ciberseguros y esponsorización; es decir, el patrocinio continuo de la agenda de seguridad y de las iniciativas prioritarias.
Desde una perspectiva más global, se podría decir que este tipo de iniciativas formativas y de sensibilización permiten construir conocimiento, impulsar la acción, inculcar hábitos seguros y centrar las comunicaciones en las personas, situándolas en la primera línea de defensa. Entre otras utilidades, ayudan a reforzar los comportamientos de los profesionales con recordatorios periódicos y avisos basados en pruebas y a expandir la cultura de ciberseguridad a toda la estructura organizacional a través de los llamados «programas de embajadores», uno de los mejores canales para atraer a un público más amplio por medio de blogs, webcast o gamificaciones.
Liderazgo y ciberseguridad como parte de la estrategia empresarial
La ciberseguridad no puede limitarse al departamento de TI, sino que debe ser parte fundamental de la estrategia empresarial y gestionarse al más alto nivel. La alta dirección ha de estar preparada para enfrentar ciberincidentes, liderando con eficiencia en momentos críticos y asegurando la continuidad del negocio mediante políticas, estrategias y recursos adecuados. Además, los directivos, que tienen acceso a información sensible y poder de decisión, son blancos prioritarios para ataques de ingeniería social, por lo que deben recibir formación específica para identificar amenazas como DDoS (ataque de denegación de servicio distribuido), ransomware y phishing y estar al tanto de las normativas regulatorias en torno a la seguridad de la información.
Es crucial que los líderes empresariales participen en programas de capacitación personalizados y experienciales que les enseñen a integrar la ciberseguridad en su rol cotidiano. Unos programas que deben ajustarse a las necesidades y responsabilidades de cada área directiva, abordando las amenazas y tendencias más recientes.
La preparación frente a ciberincidentes: simulacros y planes de crisis
Como parte de la estrategia de continuidad de negocio, es vital que las organizaciones se preparen para enfrentarse a incidentes de seguridad con alto impacto. Esta preparación debe incluir programas de gestión de crisis que contemplen simulacros regulares, planes de contingencia y protocolos de actuación estructurados, junto con la creación de un comité de crisis que sea capaz de liderar de manera global en el «momento de la verdad» en caso de producirse un evento disruptivo.
Los simulacros de cibercrisis, como ciberejercicios o retos gamificados, permiten a los equipos de respuesta y comités de crisis practicar sus procedimientos en entornos simulados y realistas, fortaleciendo la toma de decisiones y la coordinación interna. Estos ejercicios son cada vez más variados, integrando desde cyber range hasta escape rooms y formación online.
Dado que una crisis requiere una gestión transversal, son muchos los elementos a ser coordinados. Además, si a la complejidad de la respuesta por la alta casuística de escenarios disruptivos le unimos la importancia actuar con la mayor celeridad posible para minimizar impactos, no queda duda de lo necesario que es el entrenamiento frente a situaciones de crisis. Si bien es cierto que no se puede entrenar todo, también lo es que hay que evitar la improvisación en la medida de lo posible porque, al fin y al cabo, las crisis son gestionadas por personas, quienes deben tomar decisiones bajo mucha presión.
Resumiendo, la ciberseguridad es un tema crítico que va más allá de la tecnología y debe integrarse en todos los aspectos de una organización. Las empresas han de invertir en soluciones tecnológicas, en la formación continua de su talento y en la preparación para gestionar incidentes. Los líderes empresariales tienen la responsabilidad de guiar este proceso, asegurando que se implementen políticas y estrategias adecuadas para proteger a la organización y garantizar su resiliencia ante las amenazas cibernéticas. Además, la formación y concienciación deben estar presentes en todos los niveles de la organización, comenzando por la alta dirección, para construir una defensa integral y eficaz.
En definitiva, los programas integrales de formación y sensibilización, bien cohesionados y con cobertura a todos los niveles de la organización, son el mejor antídoto frente a las ciberamenazas que nos acechan cada día.
