A medida que crecen las amenazas, la ciberseguridad se ha convertido en una cuestión de primer orden para las empresas de todos los sectores, sobre todo de aquellos que manipulan información sensible. En un mundo cada vez más conectado, las amenazas informáticas proliferan y se vuelven más sofisticadas con el paso de los días; y como el error humano es la causa de la mayoría de los fallos de seguridad informática, es fundamental introducir una cultura de ciberseguridad sólida en las empresas.

La importancia de la ciberseguridad en las empresas

En un mundo en el que los datos se han consolidado como un activo estratégico, las empresas son cada vez más vulnerables a los ataques de los ciberdelincuentes. La información personal, financiera, económica y estratégica está considerada ahora el “oro negro” del siglo XXI. Un fallo de ciberseguridad puede acarrear terribles consecuencias, desde la filtración de datos hasta el robo de secretos comerciales.

Al mismo tiempo, los ciberataques pueden provocar gastos sustanciales a las empresas: los gastos derivados de la reparación, el restablecimiento de los sistemas, las multas reglamentarias, los daños a la imagen y los litigios con las partes afectadas distan mucho de ser insignificantes.

Hoy día, la ciberdelincuencia registra el índice de crecimiento más acelerado a escala mundial, en especial desde el comienzo de la pandemia del Covid-19: los hackers son cada vez más hábiles y sofisticados, y utilizan distintas tácticas de phishing, ransomware e ingeniería social. Además, a todo esto se suma la complejidad de los sistemas de datos corporativos, que combinan redes internas y aplicaciones heredadas.

Para estar protegidas frente a los múltiples riesgos cibernéticos, las empresas deben prepararse para actuar. Una vez que la seguridad técnica está controlada y se han introducido sistemas de seguridad de la información, hay que prestar especial atención a los factores humanos y organizativos, y, para ello, nada mejor que una cultura de ciberseguridad sólida.

¿Qué significa una cultura de la ciberseguridad?

Según un estudio reciente llevado a cabo por Verizon y titulado “2023 Data Breach Investigations Report”, el error humano está presente en el 74 % de los fallos de seguridad, ya sea por ingeniería social, fallos o uso indebido^[1]. Los empleados son un blanco fácil y a menudo el favorito de los ciberdelincuentes, y la seguridad de la empresa puede verse comprometida por prácticas que pueden parecer inofensivas para los usuarios: abrir un adjunto de un correo electrónico que resulta ser un virus, hacer clic en un enlace sospechoso o descargar un archivo infectado pueden acarrear serias consecuencias.

Por esta razón, la creación de una cultura corporativa de la ciberseguridad se ha convertido en una necesidad. Esto significa sensibilizar a todos los empleados, además de a otras partes interesadas como proveedores y prestadores de servicios, sobre riesgos cibernéticos y las prácticas que deben adoptarse con carácter preventivo.

La formación en materia de ciberseguridad permitirá que los usuarios comprendan los problemas que se plantean, pero sobre todo les mostrará cómo identificar los riesgos, adoptar comportamientos seguros y, en definitiva, reaccionar de manera rápida y eficaz en caso necesario; ¿el objetivo? Reducir el riesgo de ciberataques y sus posibles repercusiones. Así es como se construye una cultura de ciberseguridad eficaz y sostenible, en la que la responsabilidad recae no solo en los equipos especializados en ciberseguridad y en el responsable de seguridad de la información, sino en cada uno de los miembros de la organización. Si los empleados reciben la formación adecuada y son conscientes de las amenazas cibernéticas, se convertirán en la mejor baza contra los hackers.

(Inset) Cifras clave

• De media, un empleado recibe 14 correos maliciosos al año^[2];
• El 80 % de los empleados utiliza su ordenador personal para teletrabajar a pesar de que la mayoría dispone de un ordenador de trabajo^[3];
• En más de 1/3 de las empresas, los empleados eluden o desactivan las medidas de seguridad remotas^[4].

¿Cómo aplicar una cultura de ciberseguridad?

Una cultura de ciberseguridad efectiva y a largo plazo se basa en cinco principios clave.

1. Compromiso de la dirección

El compromiso de la dirección es fundamental para establecer una cultura de ciberseguridad. Es importante que los directivos den ejemplo adoptando las mejores prácticas y apoyando las iniciativas de seguridad, porque esto envía un claro mensaje a los empleados sobre la importancia de la ciberseguridad y sus valores.

2. Sensibilización de los usuarios

El segundo paso es concienciar a toda la organización sobre la importancia de la ciberseguridad, es decir, facilitar a las partes interesadas toda la información pertinente sobre esta cuestión estratégica. Los usuarios deben estar informados de las potenciales amenazas, así como de las mejores prácticas de seguridad, y esta concienciación puede reforzarse con formación, cuestionarios y simulaciones.

3. Políticas de seguridad

Las empresas deben desarrollar políticas de seguridad firmes que guíen y regulen las acciones cotidianas de los empleados, y que actúen como garantía en cuanto a:

• Gestión de contraseñas;
• Control de acceso al sistema;
• Gestión de dispositivos;
• Protección de información sensible;

4. Seguimiento y control de incidencias

La supervisión continua de la actividad informática y la adopción de planes de gestión de incidentes son indispensables para detectar cuanto antes las amenazas y reaccionar con eficacia. Las empresas deben estar preparadas para actuar en caso de fallo de seguridad y minimizar así los daños. Para implicar aún más a los usuarios, se les puede animar a que ellos mismos informen de posibles fallos de seguridad.

5. Mejora continua

Como es lógico, una cultura de ciberseguridad necesita estar en continua evolución: las empresas deben evaluar con frecuencia sus políticas, procedimientos y contenidos de formación para adaptarse a las nuevas amenazas y a los avances tecnológicos. Al mismo tiempo, los departamentos de TI pueden recurrir a indicadores para evaluar la eficacia de su cultura de ciberseguridad (número de empleados formados, número de incidentes notificados, etc.).

Poner en marcha una cultura de ciberseguridad en las empresas se ha convertido en una necesidad. Teniendo en cuenta los costes potenciales de los ataques informáticos, la evolución de las amenazas y la complejidad del entorno informático, la cuestión es crítica. Al fomentar una cultura de ciberseguridad, las empresas adoptan un enfoque dinámico y efectivo para reforzar su seguridad y proteger la información sensible. En definitiva, esta medida promueve un entorno de trabajo en el que la vigilancia y la preparación frente a las ciberamenazas forman una parte esencial de la rutina diaria de todos.

^[1] Verizon, 2023 Data Breach Investigations Report 

^[2] Tessian, Must-Know Phishing Statistics: Updated 2022 

^[3] Kaspersky, Consumer IT Security Risks Report 2021  

^[4] Palo Alto Networks, The State of Hybrid Workforce Security 2021