¿Son sus empleados el eslabón más débil o la primera línea de defensa en ciberseguridad?
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker y líder del Capítulo Querétaro de la Fundación OWASP.
Actualmente, se está generando una gran preocupación por el incremento de casi todas las actividades maliciosas. Pero, ¿cuál es la mayor amenaza? ¿Son los grupos criminales patrocinados por Estados-nación, que disponen de vastos recursos y buscan ganar ventaja geopolítica mediante redes de espionaje? ¿O son las bandas criminales que ejecutan ransomware, malware y fraudes, obteniendo rescates millonarios de gobiernos y grandes corporaciones? ¿O, tal vez, es la negligencia de las grandes tecnológicas, que lanzan al mercado productos apresurados, llenos de vulnerabilidades y fallos de código, en su carrera por superar a la competencia?
Un análisis reciente de la unidad de investigación de SILIKN revela que la falta de formación en ciberseguridad entre los usuarios constituye uno de los mayores riesgos en este ámbito. Los empleados, considerados a menudo el “eslabón más débil” en la seguridad, son responsables de una gran cantidad de los incidentes cibernéticos. De acuerdo con este estudio, en empresas y entidades gubernamentales de México, aproximadamente el 87.5% de los incidentes cibernéticos están vinculados a errores y descuidos derivados de la insuficiente capacitación del personal, debido principalmente a la falta de conocimiento sobre amenazas comunes, como el phishing, ransomware y otros tipos de ataques informáticos.
Los usuarios no capacitados en ciberseguridad representan un gran riesgo debido a su desconocimiento de amenazas como el phishing, que sólo el 32.5% de ellos puede definir correctamente, y a su tendencia a cometer errores comunes, como abrir enlaces sospechosos o usar contraseñas débiles. Estos fallos pueden facilitar el acceso de atacantes y provocar brechas de seguridad que comprometen datos sensibles, lo que a su vez genera consecuencias financieras y afecta la reputación de las organizaciones.
Los desafíos para capacitar a los empleados en ciberseguridad son variados y complejos, pero enfrentarlos es esencial para reforzar la protección de una organización frente a ciberataques. Las empresas deben invertir en programas de formación actualizados, relevantes y que promuevan una cultura de seguridad, con el fin de superar los siguientes obstáculos:
- Falta de conciencia y prioridad: Muchos empleados no ven la ciberseguridad como una prioridad en su trabajo diario y tienden a pensar que es responsabilidad exclusiva del departamento de IT. Esta percepción errónea puede llevar a una falta de interés en la capacitación y resistencia a participar en los programas formativos.
- Contenido y relevancia: A menudo, los programas de capacitación no son lo suficientemente relevantes o atractivos para los empleados. Si la formación se percibe como aburrida o sin conexión con el trabajo diario, es probable que los empleados no retengan ni apliquen la información. Personalizar el contenido y usar metodologías interactivas son claves para mejorar la efectividad del entrenamiento.
- Recursos limitados: Muchas empresas, especialmente las pequeñas y medianas, enfrentan dificultades para justificar la inversión en capacitación en ciberseguridad debido a la falta de financiamiento, tiempo y personal capacitado. Esto limita la implementación de programas efectivos.
- Evolución de las amenazas: La ciberseguridad es un campo en constante cambio, con nuevas amenazas surgiendo regularmente. Por lo tanto, los programas de capacitación deben actualizarse frecuentemente para mantenerse efectivos. Sin una educación continua, los empleados pueden quedar desactualizados respecto a las últimas amenazas y técnicas de ataque.
- Evaluación de la efectividad: Evaluar la efectividad de los programas de capacitación puede ser difícil sin métricas claras y métodos de evaluación. Esto puede hacer que las empresas tengan problemas para determinar si sus esfuerzos están dando resultados o si necesitan ajustes.
- Cultura organizacional: La cultura organizacional también puede ser un obstáculo. Si la empresa no promueve un entorno donde la ciberseguridad se valore y discuta, los empleados pueden no sentirse motivados para participar en la capacitación. Establecer una cultura de seguridad cibernética requiere un compromiso continuo de la dirección y de todos los empleados.
La ausencia de capacitación en seguridad, tanto en el sector empresarial como gubernamental, puede acarrear graves consecuencias, como por ejemplo:Incremento de brechas de seguridad: La falta de formación en ciberseguridad aumenta considerablemente el riesgo de brechas de seguridad. Sin la capacitación adecuada, los empleados son más susceptibles a caer en trampas como el phishing, lo que puede comprometer datos sensibles y sistemas críticos.
- Consecuencias financieras: Las organizaciones que no capacitan a sus empleados pueden enfrentar costos significativos debido a ciberataques, incluyendo recuperación de datos, indemnizaciones, multas y pérdidas de ingresos por interrupciones operativas. La falta de preparación también puede llevar a una inversión ineficaz en tecnologías de seguridad.
- Daño a la reputación y a la confianza: Los incidentes de ciberseguridad pueden perjudicar severamente la reputación de una organización. La pérdida de confianza por parte de clientes y socios comerciales puede tener efectos duraderos, afectando la lealtad y la capacidad de atraer nuevos negocios.
- Problemas legales y regulatorios: Las empresas y entidades gubernamentales deben cumplir con regulaciones que exigen la capacitación de sus empleados en ciberseguridad. La falta de cumplimiento puede resultar en sanciones legales y multas. Además, si ocurre un incidente de seguridad y se demuestra que la organización no proporcionó la capacitación necesaria, puede ser considerada responsable.
- Pérdida de productividad: Los ciberataques no sólo afectan la seguridad de los datos, sino que también pueden interrumpir las operaciones diarias. La recuperación de un ataque puede consumir tiempo y recursos, resultando en una disminución de la productividad.
- Vulnerabilidad a nuevas amenazas: Dado que el panorama de ciberamenazas está en constante cambio, los empleados que no reciben formación continua pueden quedar desactualizados respecto a nuevas técnicas de ataque. Esto aumenta la vulnerabilidad de la organización a ataques más sofisticados, que a menudo explotan la falta de conocimiento y preparación entre el personal.
- Estrés y ansiedad en los empleados: La falta de capacitación puede causar ansiedad entre los empleados, quienes pueden sentirse inseguros sobre su capacidad para identificar y manejar amenazas cibernéticas. Esto puede afectar la moral y la productividad, ya que los empleados se sienten abrumados por la responsabilidad de proteger información crítica sin el conocimiento adecuado.
La formación continua en ciberseguridad es fundamental para reducir estos riesgos. Los programas de capacitación han demostrado ser eficaces, ya que los usuarios entrenados están mejor preparados para detectar y prevenir ataques. Por ejemplo, algunas organizaciones mexicanas reportaron una reducción del 79.9% en los intentos de phishing después de implementar dichos programas.
Los empleados sin formación en ciberseguridad representan un riesgo significativo, por lo que es esencial que las organizaciones adopten programas de capacitación. Con el entrenamiento adecuado, los usuarios pueden transformarse de ser el eslabón más débil en una pieza clave de la estrategia de seguridad, convirtiéndose en una primera línea de defensa.
Para más información, visite: https://www.silikn.com/