«Resulta imperativo educar y concientizar a los colaboradores de una organización mediante un Plan de Awareness de Ciberseguridad, de manera de elevar el estándar preventivo ante ciberataques.»
Según datos de US. Norton, 75% de todos los ciberataques comienzan con el envío de un email. Por otra parte, y según Fortinet, el 50% de todos los incidentes de seguridad ocurren debido a la negligencia de los colaboradores. Pero, ¿Qué nos dicen estos datos?
Podemos elaborar un robusto máster plan de seguridad, abordando los distintos niveles técnicos, implementando controles y tecnologías en la nube, redes, perímetro, internet, end-user, etc; sin embargo, no podemos obviar el eslabón más débil y, quizás, uno de los más importantes en cualquier elaboración de una estrategia integral de ciberseguridad: El factor humano.
Y es que un cibercriminal entiende perfectamente que una de las formas más efectivas de perpetrar un ciberataque es obteniendo ventajas de las vulnerabilidades que ofrece un empleado sin capacitación y sin conocimiento sobre los riesgos, amenazas y mejores prácticas en ciberseguridad. Una contraseña débil como 123456, es un ejemplo claro del por qué el comportamiento humano constituye el factor más débil en la implementación de una estrategia de ciberseguridad. Y, aunque suene muy evidente, este tipo de claves son muy frecuentes en una organización, sin importar su tamaño, industria o cultura organizacional.
Este fenómeno ocurre por la carencia de una estrategia, Plan o Programa de Awareness de Ciberseguridad, el cual se define según el tipo de compañía y su tamaño. Este tipo de iniciativas busca incrementar el “know how” de un colaborador, de tal manera, que éste sea capaz de identificar factores de riesgo básicos para prevenir un ciberataque.
Le puede interesar: La Gestión de las Vulnerabilidades en Tiempos de Ciberataques Aleatorios
Y es que las consecuencias de no contar con un Programa de Awareness incrementa las opciones de sufrir un ciberataque. Según el Ponemon Institute, en 2015 un ataque derivado de Phishing (estafa por correo electrónico) costaba aproximadamente USD 3,5 MM, sin embargo, en 2021 ese costo alcanzó los 7,5 MM. Estos ataques ocurren principalmente porque un empleado hizo clic en un link o descargó un archivo malicioso desde un correo electrónico.
Además del evidente daño económico, un ciberataque genera dos consecuencias que podrían resultar fatales. Una de ellas, es el daño reputacional a la marca producto de un ciberataque. En muchos casos en que ocurren incidentes de seguridad graves, las empresas terminan gastando millones en reparar la imagen de una compañía vulnerable o poco segura de cara a sus consumidores. Ejemplo de ello, es lo que ocurrió en 2018 con Facebook y la brecha de seguridad con Cambridge Analytica en que ésta última, utilizó datos de 80 millones de usuarios de Facebook para segmentar campañas políticas.
También existe un daño operacional importante ante incidentes de seguridad como, por ejemplo, lo acontecido con Colonial Pipeline en 2021 en el que producto de un ransomware (ataque en el que se secuestran datos y se exige el pago por la liberación de la información), se paralizó el 45% de la distribución de combustible en el este de Estados Unidos, incrementando sus precios por varias semanas.
Es por todas estas razones que resulta imperativo educar y concientizar a los colaboradores de una organización mediante un Plan de Awareness de Ciberseguridad, de manera de elevar el estándar preventivo ante ciberataques (y no solo reactivo), reduciendo el riesgo en el factor humano y así, complementar los controles y medidas técnicas abordados en un Máster Plan.
Lea también: Desarrollo de Habilidades y Conocimiento en Ciberseguridad
