Charlamos con Soledad Martín Morales, CISO & DPO de Nalanda Global

CyberSecurity News (CSN): La escasez de concienciación en materia de ciberseguridad es un hecho, ¿a qué cree que se debe esta falta de formación?

Soledad Martín (SM): La ciberseguridad a día de hoy es una gran desconocida, es un mundo muy amplio y que crece de forma exponencial. Además, nos hemos visto “obligados” tanto en el plano personal como laboral, a adecuar nuestro día a día a las tecnologías, ya sea para comunicarnos o para estar al día de las noticias que van sucediendo. Esta transición tan abrupta no ha permitido establecer una formación mínima, o unas precauciones necesarias para utilizar los medios tecnológicos a nuestro alcance de una forma responsable y minimizando los riesgos.

CSN: ¿Cómo podemos desarrollar un programa de concientización en materia de ciberseguridad?

SM: Lo más importante para desarrollar un buen plan de concienciación es conocer bien el negocio de la compañía. Si a los empleados les mandas un curso estándar, finalmente van a pulsar «siguiente, siguiente, siguiente» sin entender la necesidad de por qué deben aprenderlo. Anualmente son obligatorios muchos cursos de muchas temáticas diferentes, si no haces atractiva esta formación, pasará a ser uno más de los obligatorios. 

Es muy importante conocer qué procesos llevan a cabo los empleados de tu compañía que puedan suponer un riesgo de seguridad y, a partir de ahí buscar ejemplos reales, definir pequeñas píldoras que sean sencillas, que no sean muy extensas y con un resumen de 3 o 4 tips que sean fáciles de recordar. También es importante utilizar diferentes formatos y canales para fijar las ideas: charlas presenciales, correos electrónicos, paneles en las oficinas, blogs internos, etc.

CSN: ¿Qué es la cultura en ciberseguridad? ¿Y cómo se puede crear una sólida en el ámbito empresarial?

SM: La formación a los empleados en materia de seguridad es muy importante, pero no es suficiente. Además de enviar estas píldoras que comentábamos anteriormente, es necesario medir su efectividad. Para ello, se pueden hacer diferentes ejercicios para conocer si realmente tu equipo está preparado, como campañas de phishing controladas.

Otro punto importante es dar a conocer a toda la compañía una persona de referencia que pueda resolver las dudas de los empleados sobre si lo que está haciendo es o no seguro. En empresas muy grandes tal vez es mejor definir un canal, pero que siempre esté disponible y sobre todo con ganas de explicar el por qué; esto va a hacer que el empleado aprenda a diferenciar los motivos y así podrá ayudar a sus compañeros.

CSN: Y por último, ¿Cómo podemos conseguir un mayor nivel de entrenamiento en cuanto a seguridad cibernética en los usuarios y en la gente de a pie?

SM: Veo importantísimo empezar a generar este conocimiento desde los más pequeños, creo que dar charlas de seguridad en los colegios debería ser obligatorio. Los niños ya nacen con la tecnología bajo el brazo y muchos de ellos manejan los dispositivos mucho mejor que los padres, lo que no conocen son los riesgos que hay y las repercusiones que estos pueden tener.

En cuanto a los adultos, lamentablemente solemos encontrar el interés cuando a nosotros o a una persona cercana le ha ocurrido una situación desagradable: un virus en el ordenador, le han robado dinero de su cuenta, o han publicado información suya en redes sociales. Hay empresas en el sector de la seguridad que disponen de charlas de ciberseguridad muy interesantes y, en mi opinión, necesarias para cualquier persona. También hay repositorios públicos en internet como la oficina de seguridad del internauta (OSI) o Internet Segura for Kids (is4k).