Por José Rosell, CEO de S2 Grupo, Compañía española especializada en seguridad de la información y de los procesos de negocio.
Alrededor de ocho de cada diez ciberataques a empresas y organismos públicos se producen como consecuencia de fallos humanos. Por ello, si se consigue un elevado nivel de concienciación sobre los riesgos cibernéticos entre los empleados, puede contribuir a que se reduzca el número de ciberataques y sus consecuencias.
En esa línea, hay que tratar la concienciación como un vector esencial en la reducción del riesgo de ciberataques. Porque, aunque en los últimos años ha aumentado el número de empresas que se preocupan por la ciberseguridad y adoptan medidas a nivel de software y de hardware, los errores humanos que dan pie a los ataques siguen siendo demasiado elevados.
Lo cierto es que, por medio de técnicas como la ingeniería social, los ciberdelicuentes pueden poner en jaque la seguridad de cualquier persona, compañía o Estado. Sin ir más lejos, las administraciones públicas españolas recibieron 430 ataques de una peligrosidad «muy alta» o «crítica» el año pasado; es decir, se tuvo constancia de que los ataques afectaron a los sistemas de la organización y a su información sensible, según el último informe del CCN-CERT. Este estudio pone de manifiesto que a lo largo de 2016 se dará un incremento de ciberataques que puedan sortear los sistemas de seguridad.
Por ello, la estrategia de ciberseguridad de las empresas y organismos públicos no se puede olvidar de las personas y debe girar en torno al concepto del «human firewall», basándose en tres pilares primordiales: la concienciación, que se basa en que los empleados sean conscientes de la importancia de su labor en la seguridad corporativa; la formación, involucrando al empleado en la protección de la información que maneja, a través del conocimiento y aplicación de las normativas, procedimientos y buenas prácticas en seguridad; y el empleado, que es, actualmente, quien gestiona riesgos que afectan a la seguridad de la información corporativa, y por tanto, las empresas y organismos públicos deben trasladar a las personas el conocimiento necesario para que los gestionen adecuadamente.
Sin duda, es primordial que las empresas cuenten con todas las medidas técnicas de última generación para evitar ciberincidentes. Sin embargo, no es posible desarrollar una estrategia de ciberseguridad sin tener en cuenta el factor humano.