La gran cantidad de servicios y tecnologías existentes en Internet están elevando el nivel de exposición a los diferentes riesgos derivados a toda la sociedad.
Marco Lozano, responsable de Ciberseguridad para Empresas de INCIBE.
Un público especialmente afectado son las empresas y en particular, pymes, microempresas y los autónomos. Si a esto le sumamos que el usuario es uno de los vectores más atacados y de los que más incidentes provocan, de manera no intencionada eso sí, nos encontramos ante una situación donde todo parecen ser ventajas para los ciberdelincuentes o atacantes. Para mitigar esta cuestión, hemos de utilizar uno de los principales instrumentos que permiten hacer un uso seguro de todas aquellas herramientas que se usan en el ámbito empresarial: la adquisición de capacidades en ciberseguridad, y llevar a cabo acciones de concienciación para la identificación de amenazas, todo apoyado además por medidas tecnológicas que también son esenciales.
En primer lugar, es interesante destacar que el nivel de concienciación en ciberseguridad para una pyme va a estar muy ligado al uso de la tecnología y la dependencia del negocio hacia esta. Salvando las distancias, no será necesario el mismo nivel de concienciación para un empleado de una empresa dedicada a cuestiones agroalimentarias que para un empleado que trabaja en una empresa tecnológica. En cualquier caso, no hay una respuesta homogénea acerca de los posibles riesgos cibernéticos y nivel de concienciación que sea válido para todo tipo de empresas, dependerá de la dependencia tecnológica de cada una.
Otro elemento importante a considerar, es conocer a qué riesgos estará expuesta la empresa. Para unas serán los riesgos asociados a dispositivos móviles o el incumplimiento del RGPD, para otras los relativos a la web para evitar phishing o los riesgos inherentes a la contratación de terceros. No obstante, esto no quiere decir que a mayor dependencia mayor riesgo, pues entra en juego otro factor que es la actitud ante la ciberseguridad. En este sentido, se puede constatar que las empresas más dependientes son también las más precavidas y que las menos dependientes son las más despreocupadas ante su ciberseguridad.
Lo que sí es un factor común es que las empresas han de incluir una gestión de riesgos en sus protocolos de ciberseguridad. Esto no es más que decir que han de priorizar lo que protegen y cómo lo protegen en base a los porcentajes de riesgo e impacto de cada posible suceso desafortunado que pueda poner en jaque su negocio. Para ello, han de identificar y valorar los activos que intervienen en sus procesos vertebradores y verificar las amenazas a las que están expuestos, siguiendo alguna metodología para evaluar los riesgos y para decidir cómo abordarlos.
Algo común a todas las empresas y que se obtiene resultado de esta gestión, es que siempre existe un riesgo que no ha de descuidarse y es la falta de concienciación de los empleados que hace posible que se materialicen muchos incidentes que utilizan por ejemplo, técnicas basadas en ingeniería social.
Es por ello, que empleado es el gran protagonista de la seguridad en las empresas. La tecnología tal y como hemos mencionado, es importante, pero no siempre es suficiente para proteger nuestros sistemas de información. La implicación y participación de todos los empleados, es esencial para llevar una gestión adecuada de la ciberseguridad en las empresas y en especial las pymes. Por este motivo, concienciar y formar a los empleados, se convierte en una pieza clave del puzle de la ciberseguridad.
Relacionado con lo anterior, la concienciación en ciberseguridad impartida en muchas pymes suele ser en ocasiones inexistente. Unas veces por falta de recursos, por falta de tiempo, por desconocimiento o por errores de contexto como considerarse fuera del objetivo de los ciberdelincuentes. Por ello, se hace imprescindible la puesta en marcha de programas de concienciación y formación entre los empleados, que faciliten crear y asentar una cultura de seguridad en la organización, reduciendo de este modo los riesgos globales a los que se enfrenta.
Desde INCIBE somos conscientes de esta cuestión y desde hace varios años tratamos de desarrollar contenidos y servicios gratuitos, con el propósito de ayudar a las empresas a poner en marcha un plan de concienciación que les permitan mejorar, de manera integral, la seguridad de su organización. Sin duda, uno de los más completos es el Kit de concienciación. Esta herramienta tiene como propósito facilitar al empresario el diseño y puesta en marcha de un plan de formación integral en materia de ciberseguridad para todos los empleados, proporcionando un mecanismo útil para concienciar a sus empleados. El kit ha sido elaborado para que el empresario pueda descargárselo y entregarlo a sus empleados de una manera secuencial, de acuerdo a un programa o planificación que también se le facilita.
Como conclusión, en general las pymes, y en particular las microempresas y los autónomos, aún tienen margen de mejora en lo relativo a la capacitación de sus empleados y al tratamiento de los riesgos que las afectan. Las empresas no pueden escapar a la transformación digital y esta lleva asociada de manera indisoluble la necesidad de protección frente a incidentes y a usos no autorizados o abusivos de la tecnología. Esta protección comienza por la concienciación y sensibilización con la que se consigue que los empleados de todos los niveles hagan un uso adecuado de la tecnología, protegiendo el negocio y garantizando los derechos de los clientes o usuarios.
Para ampliar información acerca de los servicios de INCIBE en materia de concienciación, puede ponerse en contacto a través de la Línea de Ayuda en Ciberseguridad en el número corto 017, o a través de nuestros canales de chat de WhatsApp y Telegram.
