Las personas son cada vez más el punto crítico de entrada y defensa contra la ciberdelincuencia que filtra información. La formación y concienciación de los empleados es esencial, pero ¿es suficiente? Al protegerse a sí mismas, a sus clientes y a sus proveedores contra los ataques, las empresas que implantan un sistema de gestión de la seguridad de la información obtienen beneficios considerables.
Salvo contadas excepciones, el personal se selecciona en función de su capacidad para desempeñar su función dentro de la organización. Algunos tienen conocimientos técnicos exclusivos del producto o servicio principal, mientras que otros tienen aptitudes y habilidades que encajan, por ejemplo, en las funciones de apoyo.
Independientemente de su función en la empresa, es muy probable que la mayoría no haya recibido formación formal sobre gestión y riesgos de la información, los datos y la seguridad.
Proteger de forma coherente la información, los datos y los sistemas frente a determinados ciberataques es un enorme reto para las empresas. A diferencia del Reglamento General de Protección de Datos (RGPD), establecido para proteger los datos personales, la gestión de la información, los datos y la ciberseguridad es generalmente una acción voluntaria, aunque cada vez más una necesidad comercial y de continuidad de negocio urgente.
Una encuesta reciente de DNV sobre la gestión de la información relativa a la privacidad puso de manifiesto que las empresas señalaban principalmente el error humano como principal fuente de riesgo (44,5%), seguido de la falta de concienciación de los empleados o de una cultura organizativa deficiente (27,7%). Además, las inversiones están pasando de haber sido intensivas en tecnología a hacer mayor hincapié en la formación y sensibilización del personal. Una situación similar se observa en la gestión de la información, los datos y la ciberseguridad.
Cuando el error humano y la falta de concienciación se consideran riesgos importantes, suele significar que no se ha creado una cultura eficaz. Esto podría mitigarse fácilmente implantando un modelo formal de aseguramiento del sistema de gestión. Toda organización experimentará recursos transitorios debido, por ejemplo, al desgaste y la contratación de nuevos recursos. Esto requiere la formación de los nuevos empleados o la concienciación del personal existente a intervalos regulares. Puede ser elearning, pequeñas píldoras formativas o una formación más amplia para todo el personal implicado en la gestión de datos.
Las inversiones en seguridad informática siguen siendo esenciales; sin embargo, a medida que las personas se convierten cada vez más en un punto débil potencial, deben ocupar un lugar central en cualquier planteamiento de seguridad de la información.
Garantizar que todos los empleados estén formados en todo momento de manera que protejan a la organización, sin distraerse de las tareas cotidianas, requiere una estructura. La mejor forma de satisfacer esta necesidad es mediante un modelo de sistema de gestión basado en las mejores prácticas recogidas en la norma internacional sobre sistemas de gestión de la seguridad de la información ISO/IEC 27001. Establece requisitos específicos sobre formación y concienciación periódicas para garantizar un nivel coherente en toda la organización. Esto conduce a un mayor compromiso y capacita a los empleados para pensar en términos de "seguridad de la información", ayudándoles a gestionar mejor la "incertidumbre" relacionada con los riesgos o amenazas. La experiencia demuestra que la implantación de un modelo de sistema de gestión ayuda a una organización a crear y mejorar una cultura de la seguridad.
Además de la formación general de los empleados, hay otros aspectos que entran en juego. Es esencial la presencia de expertos internos en la materia, debidamente formados, que sean el punto focal en relación con las peticiones o dudas del personal. También es importante que los altos directivos demuestren su compromiso y hagan ver que se espera que todos sigan las mismas normas. De lo contrario, los empleados pueden empezar a preguntarse por qué se espera de ellos que estén atentos y sigan los procedimientos cuando los dirigentes de la organización están exentos.
Con el aumento del coste empresarial de la información, los datos y los ciberataques, la inversión en formación es algo que pocas organizaciones pueden permitirse ignorar. Invertir en aumentar la competencia es siempre un enfoque constructivo y los beneficios que se pueden obtener son considerables. Si esto se combina con la implantación de un sistema de gestión de la información con certificación ISO/IEC 27001, se obtiene un enfoque aún más sólido, resistente y fiable.
Riesgos para la información, los datos y la ciberseguridad: un enfoque estructurado para gestionarlos
La ciberdelincuencia cambia constantemente y con ella los medios para atacar las redes, robar información o pedir rescate a las víctimas.
A menos que una organización sea muy nueva o se encuentre en una fase temprana de crecimiento, es muy probable que ya haya implantado algún tipo de sistema de gestión, como el control de calidad o la concienciación medioambiental.