Concienciación, palabra de moda o necesidad insoslayable.
La ciberseguridad se puede describir como un enfoque de 2 vertientes:
Primero; agrupar y hacer leíble toda la información para estar alerta, para prevenir y para responder. Para planear estrategias de resiliencia contra las ofensivas desplegadas por actores maliciosos. Segundo; enseñar a las personas cómo protegerse y como proteger los sistemas y los datos de su organización de potenciales ciberataques.
La concienciación o concientización (awareness) en ciberseguridad consiste en que las personas tomen conciencia de los riesgos y amenazas a las que se exponen en el desarrollo diario de sus funciones y que interioricen buenas prácticas en materia de ciberseguridad, seguridad de la información y privacidad.
El ciberdelito y su combate han aumentado exponencial, pero asimetricamente en los últimos años. Los números reflejan los miles de propietarios y gerentes de grandes, medianas y pequeñas empresas que han sido víctimas de todo tipo de amenazas digitales. Curiosamente, estas pérdidas podrían haberse evitado sin esa pulsación de tecla o sin ese clic del ratón a ese algo que parecía inofensivo.
Puede que para muchos no sea obvio que es importante evitar hacer clic en enlaces o no visitar sitios web sospechosos, o descargar algún adjunto de una fuente dudosa que puede contener algún malware. Puede que aun hoy día muchos desarrolladores no interioricen lo medular que es considerar todas las variables al escribir su código.
Cito dos ejemplos; un vector de la ingeniería social como el correo electrónico; podríamos asegurar que muchas amenazas digitales acechan en los correos electrónicos. Sí, ese servicio de correo que utilizamos todos los días. El otro ejemplo; el de errores atribuibles al usuario, como las contraseñas débiles, el no uso de múltiples factores de autenticación o bien no resguardar debidamente los secretos (contraseñas).
Estos ejemplos al vuelo, permiten catalizar con simpleza que se necesitan instrucciones claras sobre cómo evitar abrir archivos adjuntos de correo electrónico no autenticados o sospechosos, sobre cómo gestionar secretos de manera resiliente, que por consecuencia resguarden lo que está más allá del formulario de acceso al servicio o la importancia de a dónde nos llevan esos enlaces. Noten que todo gira alrededor de los datos y por supuesto, de las personas.
El relevante papel de cada persona en el uso de sus dispositivos, sus hábitos digitales y la higiene digital que practiquen, así como su nivel de responsabilidad sobre los datos confidenciales que gestiona, son el mejor cortafuego, sistema de identificación y detección de intrusos y el mejor control de acceso a la red que cualquier empresa pueda tener.
Desarrollar un análisis conductual nos permitirá descubrir que algunos colaboradores pueden requerir capacitación continua, básica o avanzada en identificación y respuesta ante ciberamenazas. De hecho, esos mismos hábitos digitales y esa misma sanitización digital determinará cuánta alfabetización en ciberseguridad se necesita.
Muchas luchas han costado interiorizar lo relevante que es que las personas estén bien informadas sobre las innumerables técnicas usadas por la ciberdelincuencia, gran parte de ellas girando alrededor de dos ejes; la ingeniería social y los errores humanos. Así las cosas, parece natural que se comprendan los elementos alrededor de la protección avanzada contra amenazas (ATP).
Las buenas prácticas requieren fundamentos. Debe enseñarse los conceptos básicos de la seguridad de los dispositivos como, por ejemplo; no dejarlos desatendidos y protegerlos cuando se usan redes públicas. Que cada usuario o persona sepa cómo revisar regularmente la seguridad del dispositivo, los sistemas de protección de datos, las actualizaciones de software, de las aplicaciones y mantener higiene digital como practica clave para mantener un alto nivel de seguridad.
La concienciación involucra conocer las nuevas tendencias en técnicas de ataque y amenazas del ciberdelito para que se identifique actividades sospechosas y ayudar a permanecerse alerta para prevenir y para responder. Importante aprender de nuestros errores, no que deba tenerse una cultura de “culpa y vergüenza”, sino aprender para mejorar la conciencia y el control de la ciberseguridad. Diría; “evidenciar o conocer el pecado, no al pecador”.
Debe además crearse conciencia en lo que se invierte –en tecnologías y sistemas de protección- en ciberseguridad al talento humano para resaltar lo importante que es la ciberseguridad para la organización y como una forma de recordar responsabilidad transversal en la protección de la misma. Debe evaluarse periódicamente el nivel de conciencia que se tiene sobre las amenazas y cómo los sistemas la gestionan.
La ciberseguridad no debe tomarse a la ligera. Hay mucho en juego, así que asegurarse de educar sobre la ciberseguridad y verificar que lo comprendan es una necesidad insoslayable.
Las personas expertas y entrenadas en ciberseguridad deben con lenguaje sencillo, con empatía, con excelencia y con pasión por el usuario, ayudar a sus compañeros y cercanos a comprender las amenazas a las que se podrían enfrentar y ayudarles a dominar y confiar en las herramientas de protección que se le provisionan.
Las organizaciones deben ofrecer instrucciones claras sobre cómo responder rápidamente a posibles ciberataques, como ransomware, cualquier forma de malware, engaños, fraudes y demás vectores y técnicas de ataque.
En resumen; si su organización no está construyendo una cultura de ciberseguridad transversal –awareness o concienciación-, y fortaleciendo todos sus esfuerzos convirtiendo a su talento humano en “firewalls humanos”; más temprano que tarde será una víctima más.