Las organizaciones de todo el mundo se enfrentan a un panorama de ciberamenazas que evoluciona a gran velocidad, y España no es una excepción. Si los ciberdelincuentes centraban antes sus esfuerzos en atacar redes e infraestructura, ahora son las personas quienes están siendo atacadas.
El 87% de las compañías españolas reconoce haber sufrido al menos un ataque durante el año pasado y más de la mitad registró varios incidentes, entre los cuales destacan la suplantación de identidad, la amenaza interna y el ransomware como principales modus operandi.
Ya sea a través de mensajes fraudulentos, compromiso de cuentas o ingeniería social, los ciberdelincuentes están dirigiéndose hacia lo que para muchas empresas es su última línea de defensa: los empleados. Aunque estos no estén lo debidamente preparados.
Pese a una mayor frecuencia de los ataques, muchas organizaciones siguen sin aplicar una estrategia de ciberdefensa eficaz y la formación de los usuarios en seguridad suele ser inadecuada, por lo que su concienciación también es insuficiente. Se requiere adoptar un nuevo enfoque que ponga en el centro a las personas, asegurándose de que estas no solo puedan detectar y prevenir los ataques, sino que también sepan cuál es su responsabilidad a la hora de proteger a su empresa.
Un cambio de mentalidad
Los ciberataques con foco en las personas demandan una ciberdefensa también centrada en las personas. No basta con saber que los ciberdelincuentes utilizan cada vez más credenciales comprometidas para acceder a cuentas de correo electrónico, información sensible y sistemas corporativos. O que estas credenciales son fraudulentamente obtenidas a menudo por email. Lo que las organizaciones necesitan entender es por qué tienen éxito estos ataques. Y la respuesta está en manos de su propia gente, desde los miembros de dirección hasta los usuarios finales.
Casi la cuarta parte de las personas que recibe un mensaje de phishing lo termina abriendo, lo cual debería preocupar tanto a los CISO como a los CEO. Pero si más del 10% de los usuarios admite hacer clic en los enlaces maliciosos, la situación es aún más alarmante.
Esta brecha de seguridad que conforman las personas dentro de las organizaciones procede de una falta de formación y concienciación acerca de las amenazas, un aspecto de la ciberdefensa que aún no se ha abordado en muchas empresas.
Un 68% de los CSO y CISO españoles cree que el error humano o la falta de concienciación en seguridad presentan el riesgo más importante para sus organizaciones, sin importar el resto de protecciones que haya implementadas al respecto. Pese a los riesgos, casi todos (93%) admiten ofrecer formación a sus empleados sobre las mejores prácticas de ciberseguridad únicamente dos veces al año o menos, junto a un 7% que realiza estos programas tres veces al año o más.
No podemos esperar que los empleados sepan lo que hay detrás de las amenazas más comunes si reciben tan poca formación, ni mucho menos que comprendan su papel en la detección y disuasión de tales ataques. En las organizaciones españolas, de hecho, solo el 21% de los responsables de seguridad cree firmemente que su empresa está preparada para un ciberataque, lo cual es un signo de un problema todavía mayor que es la falta de implicación por parte de la dirección en esta materia. Apenas un 20% de los CISO españoles coincide en que la ciberseguridad ha sido una preocupación para los directivos de su organización en 2020. Pero, incluso, más de la mitad de los responsables de seguridad (55%) reconoce que no sabe siquiera quiénes son los empleados más atacados en su propia empresa.
Este posicionamiento tiene que cambiar lo más rápido posible. Antes la ciberdefensa se consideraba una preocupación exclusiva de los equipos de seguridad y quizás tenía sentido cuando los ataques se centraban principalmente en redes e infraestructuras, pero esto ya no es así.
La vulnerabilidad humana es ahora la principal puerta de entrada a las organizaciones. Empleados de todos los niveles y departamentos pueden poner en riesgo a su empresa. Para construir una defensa sólida, debemos hacerles tomar conciencia sobre las amenazas más comunes y educarles acerca de cómo sus acciones pueden marcar la diferencia entre un intento de ataque y sus consecuencias económicas.
El Foro Económico Mundial calcula que, entre 2019 y 2023, estarán en riesgo 5,2 billones de dólares por la actividad de los ciberdelincuentes en todo el mundo. Las cifras nunca habían sido tan altas y es hora de que la formación en ciberseguridad para empleados refleje esta realidad.
Una estrategia de tecnología y personas
Detectar y prevenir ciberataques son dos tareas que recaen más en los usuarios finales, ya sea enfrentándose a impostores que se hacen pasar por conocidos o ante intentos de phishing de lo más convincentes. Por tanto, es necesario colocar a estos usuarios en el centro de toda ciberdefensa.
Si bien las soluciones tecnológicas y los controles son importantes, tan solo cubren una parte de la estrategia en ciberseguridad, que tiene que ser mucho más amplia y profunda. El pilar más importante deberá ser la formación a los empleados de manera continua, completa y adaptada.
Esta capacitación necesita ir más allá de los métodos y las motivaciones de los actuales ciberataques. Se debe inculcar a los empleados un conocimiento detallado acerca de su papel en la protección de las organizaciones. Deben entender que comportamientos simples, como reutilizar contraseñas o manejar datos de forma incorrecta, pueden tener repercusiones significativas y de gran alcance.
El objetivo es crear una cultura de ciberseguridad basada en las mejores prácticas y en la responsabilidad. Una cultura en la que la ciberdefensa sea tarea de todos sin importar el departamento o la categoría de trabajo.
Los ciberdelincuentes atacan a las personas, porque creen que son el eslabón más débil. Y depende de todos asegurarnos de que eso no sea así.
*** Fernando Anaya es Country Manager de Proofpoint.