La formación como elemento imprescindible en ciberseguridad
Presumiblemente, estamos cansados de escuchar o leer la popular frase: “Una cadena es tan fuerte como su eslabón más débil”.
Pues bien, en el contexto de la ciberseguridad, podemos llevar el símil de los eslabones considerando a cada uno de ellos como el último y más avanzado dispositivo tecnológico de prevención, así como para la protección de la información por lo que, con que uno de ellos falle, la seguridad podría verse comprometida. A esta comparación, hay que añadir que el usuario es un eslabón más de la cadena y posiblemente, el más débil.
Es por ello que si queremos que nuestros trabajadores se conviertan en un eslabón fuerte de la cadena, deberemos otorgarles la importancia que merecen. Hay que tener en cuenta que a la hora de la verdad, será el trabajador, el usuario final, el auténtico protagonista, ya que será el encargado de gestionar y utilizar los sistemas de información de la organización.
Pero, ¿cómo establecer cultura de seguridad en mi empresa?
Posiblemente, desarrollar una cultura de seguridad en una organización puede que sea uno de los objetivos más complejos que se pueden plantear. Requiere de una planificación pormenorizada y de acciones continuadas en el tiempo. Es habitual que los trabajadores vean en los protocolos de seguridad una complicación, un incordio o una molestia.
“¿Por qué tengo que cambiar cada poco la contraseña? Qué rollo”
No es sencillo hacer entender a nuestros empleados que implementar ciberseguridad implica llevar a la práctica una serie de acciones y establecer una manera de trabajar orientada a garantizar la seguridad de la información, principal activo de cualquier organización.
Así pues, además de establecer políticas, normativas y procedimientos de seguridad o supervisar si se cumplen o no las buenas prácticas, habrá que apostar por acciones formativas en seguridad para empleados.
Tradicionalmente, en las organizaciones se ha tendido a etiquetar este tipo de formación como un gasto innecesario que no aporta valor a la empresa, puesto que no lo ven traducido a beneficios en su cuenta de resultados. Como mucho, habremos visto iniciativas relacionadas con la protección del puesto de trabajo o con la prevención de riesgos laborales, pero muy poca relacionada con la seguridad de la información.
Pero si atendemos lo que indica el Reglamento General de Protección de Datos (RGPD), nos daremos cuenta que es de obligado cumplimiento, por parte de una empresa, formar a los empleados en materia de seguridad de datos de carácter personal que garantice una gestión correcta de los mismos.
No obstante, como en muchas situaciones, no todos los trabajadores de una organización requerirán del mismo grado de formación. Este dependerá de cuáles sean sus asignaciones o responsabilidades. De esta forma, el personal técnico requerirá de un alto grado de especialización en seguridad y en tecnologías de este ámbito, mientras que un usuario final que solo maneje una pequeña parte de la información corporativa, no requerirá de formación en aspectos técnicos, sino en el ámbito legal y organizativo.
Además, la vertiginosa evolución en materia tecnológica exige que el personal técnico esté en un continuo proceso de formación, sobre todo si la organización tiene un alto grado de dependencia tecnológica. En definitiva, será fundamental ser conscientes de la importancia de formar a nuestros trabajadores en materia de seguridad de la información. Y no sólo en materia de protección de datos personales, sino también desde el punto de vista de toda la información que trata la organización, teniendo en cuenta siempre las responsabilidades que cada rol juega dentro de la organización:
Aprender a reconocer ataques de ingeniería social y cómo evitarlos.Proteger adecuadamente el puesto de trabajo (antivirus, actualizaciones, correo electrónico, etc.).Aplicar los controles de acceso físico.Tratamiento y manejo de soportes y dispositivos móviles como portátiles, smartphones, etc.Entender los riesgos que conlleva el uso de páginas web externas, aplicaciones de terceros o descargas y actualizaciones no validadas por el departamento de informática.
Todo este tipo de variables deben ser consideradas para fomentar una verdadera cultura de ciberseguridad. Por este motivo, desde Protege tu Empresa, se pone a disposición de cualquiera que lo requiera una serie de recursos formativos que ayudarán a afianzar el conocimiento en ciberseguridad de cualquier organización: dosieres, de políticas de seguridad, formación sectorial, guías, recursos para poner en práctica situaciones reales que ayudarán a incidir en la concienciación del uso seguro y responsable de los dispositivos tecnológicos o una línea de ayuda gratuita y confidencial para resolver dudas y responder a las consultas de cualquier persona en materia de ciberseguridad.
Dice el dicho que “el saber, no ocupa lugar”. En este caso, el saber, entendido como formación, será de gran importancia si queremos contar con eslabones sólidos que conformen la gran cadena de la ciberseguridad en el ámbito de la protección de la información.