Con la inminente entrada en vigor de la Directiva NIS2 en la Unión Europea a partir de este mismo mes de octubre –concretamente el día 18–, las organizaciones deberán poner en marcha medidas de ciberseguridad que, hasta ahora, venían postergando. De todos los puntos que se contemplan en la normativa, hay dos novedades que impelen a mover ficha dentro de las compañías: una es la responsabilidad que tendrán los órganos directivos en el ámbito de la seguridad de su empresa, algo que antes recaía casi exclusivamente en el CISO; y otra es la necesaria formación en ciberseguridad de los empleados.
Este último punto puede llegar a ser un verdadero quebradero de cabeza para los CISO, pero, bien resuelto, podrá ser la tabla de salvación del responsable de seguridad de una empresa cuando reciba un ataque cibernético. Jinan Budge, VP, Principal Analyst en Forrester, ha publicado que su compañía «predice que el 90 por ciento de las violaciones de datos incluirán el elemento humano en 2024. Sin embargo, nuestros esfuerzos por comprender y gestionar esta importante amenaza siguen siendo tibios» a pesar de que, de 2017 a 2022, se han cuadruplicado las pérdidas «para las empresas defraudadas por ataques exitosos de compromiso de correo electrónico».
Urgente e imperativo
Al aumento de los ciberataques a las organizaciones se suma ahora la sofisticación de los mismos, dado que las nuevas tecnologías, con la inteligencia artificial a la cabeza, son también herramientas utilizadas por los atacantes. Así, reforzar la formación de los empleados en materia de seguridad se ha vuelto algo urgente y, tras la normativa NIS2, también imperativo.
Además, la urgencia adquiere mayor importancia a medida que bajamos en la pirámide empresarial. Las compañías que conforman el Ibex 35 en nuestro país son susceptibles de ser atacadas, pero son también las que más invierten en ciberseguridad y en formar a sus empleados, lo que las convierte en las más seguras, al menos sobre el papel. La Directiva NIS2 les afectará y tendrán que actuar, pero ya tienen recorrido un buen trecho del camino. Sin embargo, la mediana empresa –especialmente golosa para los cibercriminales por su capacidad económica para hacer frente a una extorsión, por ejemplo, con un ransomware; y a la vez por ser más vulnerables que las grandes cuentas– deberá doblar sus esfuerzos.
Pero el gran reto de la industria española para atenerse a la Directiva NIS2 y, especialmente, para formar a sus trabajadores, no está en la cúspide ni en la zona media de la pirámide, sino en su base, en ese grueso del tejido industrial que conforman las pequeñas empresas que carecen de la figura del CISO en su inmensa mayoría; mientras solo un reducido número de ellas cuenta con un responsable informático que actúa de «chico para todo» en asuntos tecnológicos y, el resto, que viene a ser la mayor parte de ellas, que no dispone de ninguna figura con la formación adecuada para implantar las medidas que pide la normativa.
En contraposición, casi todas estas compañías, sea cual sea su tamaño o sector, hacen uso del correo electrónico en su día a día, cuentan con una página web y utilizan el teléfono móvil para gestionar su negocio; es decir, son susceptibles de recibir ciberataques.
¿De qué sirve contar con una adecuada ciberseguridad interna si los proveedores con los que trabajamos no son tan rigurosos?
La cadena de suministro, el nuevo eslabón más débil
Aun así, las organizaciones más fuertes y con mayor inversión en ciberseguridad tampoco podrán relajarse, porque la entrada de los ciberataques ya no es el portón del castillo, sino la puerta de acceso de la cadena de suministro.
¿De qué vale contar con una adecuada ciberseguridad interna si los proveedores con los que trabajamos no son tan rigurosos y están infectados con malware, ransomware o cualquier otro virus y no ponen medidas? Este problema adquiere una mayor dimensión cuando una empresa contrata a un suministrador que, a su vez, trabaja con terceros. La cadena de suministro puede ser más larga de lo que pensamos, y no tenemos visibilidad ni control de ella. El hecho es que, en caso de una infección cibernética en un eslabón de esa cadena, la empresa contratante puede verse afectada.
La gestión del riesgo humano tendrá pues un papel cada vez más relevante en las organizaciones. Antes se hablaba de concienciación del usuario ante las amenazas existentes; ahora, el término empleado es ‘gestión del riesgo’, pero el trasfondo es el mismo: hay que potenciar la formación en materia de ciberseguridad entre los usuarios; y no de una manera puntual, sino con garantías de continuidad en el tiempo. Y, más importante aún, no quedarse con una seguridad que llega hasta la puerta de entrada, sino que amplía su campo de acción a la cadena de suministro.
El usuario debe ser la primera línea de defensa
La gestión del riesgo humano se ha convertido en un componente crítico de la ciberseguridad moderna. El usuario, visto en el mundo de la seguridad como el eslabón más débil de la cadena, debe convertirse en la primera línea de defensa ante los ciberataques.
Ingecom se posiciona en este ámbito como un mayorista de valor añadido líder en soluciones de ciberseguridad y ciberinteligencia, con un enfoque especial en la gestión del riesgo humano. Así, ante la Directiva NIS2, refuerza su compromiso de proporcionar a las organizaciones herramientas innovadoras para fortalecer su postura de seguridad y cumplir con las nuevas regulaciones.
Nuestra propuesta es doble. Por una parte, apostamos por transformar el comportamiento de los usuarios y, por otra, por fortalecer sus habilidades técnicas. Para ello proponemos Cyber Guru, que se enfoca en convertir a los usuarios en la primera línea de defensa contra las ciberamenazas; un aspecto crucial para la gestión del riesgo humano y el cumplimiento de la NIS2. Sus componentes principales incluyen un programa de aprendizaje en línea que ofrece formación cognitiva sobre amenazas cibernéticas, dividido en Cyber School y Cyber Campus, para una formación continua.
Además, proporciona formación experiencial mediante simulaciones de ataques de phishing, utilizando aprendizaje automático para personalizar la experiencia. Y, finalmente, ofrece simulaciones avanzadas de phishing que replican ataques reales.
La plataforma de Cyber Guru se distingue por su enfoque gradual y continuo, adaptándose al nivel de riesgo de cada usuario y utilizando elementos que aumentan su compromiso.
También proponemos Hackrocks, que innova en la formación y evaluación de habilidades de ciberseguridad mediante una estructura tripartita que incluye academia (fundamentos teóricos), laboratorios (entornos prácticos) y retos (escenarios reales); la integración con CTFtime.org para competencias internacionales y rankings globales; más de 50 competiciones CTF anuales en diversas modalidades; y herramientas de evaluación para la selección de personal y pentesting humano.
