La ciberseguridad es una preocupación mundial para las empresas de todos los sectores e industrias, pues se amenaza, no sólo su seguridad y reputación, sino también su crecimiento, su rentabilidad e incluso, su viabilidad futura. Es amenaza creciente, en la que el coste de algunas infracciones puede llegan a millones de euros, sin considerar el daño reputacional.
La formación y la experiencia representan la barrera número uno en la gestión de una amenaza interna, por lo que empoderar a los empleados, formándolos para detectar los signos de un ataque cibernético sin ponerse nerviosos, es la mejor manera de mitigar el problema.
Es difícil pensar en estos momentos en una amenaza más crítica para cualquier negocio, por lo que se recomienda que las organizaciones inviertan en formación efectiva en esta área. Sin embargo, el entrenamiento en seguridad cibernética no está recibiendo todavía la atención que el problema merece.
Para convencernos de la importancia de formar en ciberseguridad, hemos identificado varias razones clave por las cuales la capacitación en seguridad no sólo debe priorizarse, sino que debe revisarse habitualmente, para brindar a los empleados las herramientas que necesitan para protegerse a sí mismos y a las organizaciones para las que trabajan:
Cuando hablamos de ciberseguridad, hablamos de personas
Existe una creciente comprensión de que, además de las medidas tecnológicas, como los firewalls, los sistemas antimalware y la detección de virus, una estrategia de ciberseguridad sólida debe abordar los riesgos planteados por los empleados dentro de la organización
Sin embargo, la naturaleza de la amenaza interna se caracteriza con demasiada frecuencia como un trabajador malicioso, deliberadamente para causar estragos como un acto de venganza o para su propio beneficio personal. De hecho, la mayoría de los ataques internos (51%) son accidentales o no intencionales; empleados que hacen lo incorrecto porque carecen del conocimiento, las habilidades, la conciencia o la confianza para proteger el negocio.
No hay suficiente entrenamiento
Incluso cuando la amenaza interna se reconoce como una preocupación clave, la falta de capacitación y experiencia se cita como la principal barrera para gestionar una ciber amenaza interna dentro de las empresas.
No se capacita a toda la plantilla de una empresa
En muchas ocasiones, cuando las empresas ofrecen formación es posible que ésta no llegue a las personas adecuadas. Habitualmente, la capacitación llega a los directivos, mientras que otros empleados, que no son especialistas en TI no la reciben.
Esto va en contra del hecho contrastado de que los empleados representan la mayor amenaza de seguridad interna en cualquier organización. Es esencial que los que están en la directiva estén capacitados en ciberseguridad, pero si esto sucede a expensas de las oportunidades del resto de la plantilla, las empresas se exponen a un gran riesgo.
¿Quién tiene la responsabilidad de impartir capacitación en ciberseguridad en su organización?
Puede parecer una pregunta simple, pero la respuesta a menudo está lejos de ser directa. Es probable que la responsabilidad recaiga en un departamento específico, ya sea una función del riesgo, el cumplimiento, o la tecnología. Lo que sucede a menudo es que un experto en el tema de la ciberseguridad, en lugar de un experto en la capacitación de personas, toma la iniciativa.
La capacitación en ciberseguridad es más efectiva si el departamento responsable de la ciberseguridad trabaja en estrecha colaboración con especialistas en el tema y en impartir formación al respecto (ya sea de dentro de la organización o sea un proveedor externo), para garantizar que la formación sea efectiva y atractiva.
Y, una vez que decidimos formar a todos, ¿por dónde empezamos?
En las organizaciones donde se implementa una política activa de ciberseguridad, ¿por dónde empezamos cuando los cursos son para toda la plantilla?
Si simplemente se les informa sobre la política corporativa o se transmiten las reglas y procedimientos, la formación tendrá un impacto limitado, por lo que, para que la formación sea efectiva y los empleados cuenten con las herramientas mínimas para proteger el negocio, la capacitación debería permitirles espacio para tomar buenas decisiones e intentar aplicar sus comportamientos seguros a su realidad cotidiana.
La amenaza está aumentando
Los ataques cibernéticos están aumentando y cada vez hay más ciberdelincuentes que atacan a los empleados y, por ende, a su organización. De hecho, el correo y los mensajes de phishing se han convertido en la principal ruta de infección de malware en Europa.
A medida que la amenaza crece, también lo hacen las consecuencias financieras. El coste total promedio de una violación de datos en 2018 alcanzó los $ 3.86 millones , un aumento del 6.4% respecto al año anterior.
Para cumplir con la creciente cantidad de ataques, las empresas deberán usar todas las armas disponibles para defenderse, y eso debe incluir medidas para hacer que los empleados sean la primera y más fuerte línea de defensa. Por lo que sólo implementar políticas de formación en ciberseguridad, empoderando a la totalidad de la plantilla, puede reducir el riesgo y proteger a su organización de adentro hacia afuera.
FIT: Microlearning + gamificación y Ciberseguridad
Para FIT la Ciberseguridad va mucho más allá de instalarse un buen antivirus y realizar análisis periódicos a nuestros equipos informáticos. En nuestra formación estándar, para toda la plantilla, se encuentran las claves y buenas prácticas necesarias para no ser vulnerable a ciberataques y amenazas existentes en la red.
Nuestros cursos ofrecen una colección de videos, accesibles desde el Smartphone, la Tablet y el ordenador, soportados en la tecnología microlearning, para hacer más ágil el aprendizaje. Nuestra formación se completa con evaluaciones, material de descarga y un divertido juego de preguntas y respuestas. Esto ayudará a toda la plantilla a formarse aplicando los conocimientos adquiridos, mientras se potencia la participación y el compromiso.