El lanzamiento de un programa de ciberseguridad interno es un proyecto tanto político como humano, especialmente desde que en 2021 se produjo un aumento real de los ciberataques que hoy en día todavía continúan en aumento. 

Creer que un programa de ciberseguridad es estrictamente una iniciativa de TI y que solo está relacionada con los aspectos técnicos y tecnológicos es un error importante. Es como pensar que el Covid-19 es una preocupación solo para médicos y profesionales de la salud. De hecho, vencer esta pandemia requiere de un esfuerzo colectivo: primero, los trabajadores de salud de primera línea; después, los políticos gestionando la situación y, en último lugar, pero no menos importante, la sociedad en general aportando su granito de arena. Lo mismo ocurre con los ciberataques, son una amenaza que solo puede detenerse colectivamente. 

Muy pocos usuarios lo saben, pero el trabajo remoto deja a las empresas cada vez más vulnerables y expuestas a los ciberataques. Lo peor es que incluso pocos usuarios saben cómo protegerse contra estos ataques. 

Ante esta creciente amenaza, es fundamental realizar una campaña de concienciación sobre ciberseguridad. Explicar los riesgos y peligros de esta pandemia a todos los empleados y asegurarse de que comprendan qué hacer y qué no se debe hacer para mantenerse a salvo. Una campaña de concienciación se puede realizar de varias formas: a través de vídeos, envíos masivos de correos electrónicos, aplicaciones de juegos, cuestionarios, etc. 

Sin embargo, para llegar a tantos empleados como sea posible y obtener la mayor participación de los usuarios, la campaña debe ser tanto formativa como divertida, pero especialmente comprensible para todos. Además, para que sea eficiente y cambie las reglas del juego en los hábitos y usos diarios de las personas debe planificarse como una iniciativa a largo plazo. 

Sensibilizar, probar, abordar… ¿Te suena?  

Movilización política

El desafío más importante en una campaña de ciberseguridad es transmitir el mensaje a todos los empleados sobre cómo funcionan los ciberataques. No se trata de un proyecto estrictamente informático per se, es una iniciativa de grupo con todo incluido que requiere apoyo y liderazgo en nombre de los departamentos de RR.HH. y Marketing desde el principio para lograr la aceptación de todos. 

La clave para promover la participación radica en la preparación de las personas, desde los directivos hasta los empleados, con equipos de gestión locales que transmitan y refuercen la campaña. Sin un call to action claro y una comprensión profunda de lo que está en juego, una campaña de concienciación hará muy poco para cambiar nuestros hábitos y, seguramente, no contribuirá a deshacernos de los ciberataques. 

Sensibilización

No basta con confiar en soluciones y herramientas técnicas. Para luchar contra los delitos informáticos, es necesario que todos los empleados comprendan los peligros y lo que está en juego. La creación de inmunidad a los ciberataques solo se puede lograr a través de la concienciación y sensibilización. 

La campaña de sensibilización es una herramienta eficaz que funciona como una vacuna. Se difunde entre las personas y desencadena una respuesta inmune casi instantáneamente y los usuarios saben exactamente qué hacer. Para fomentar la aceptación y la eficiencia, una campaña de sensibilización debe atender a su población objetivo. 

Por lo tanto, el primer paso, y ciertamente el más crucial, de un programa de este tipo, consiste en evaluar los conocimientos propios sobre seguridad de la información. Por lo general, se usa un cuestionario para este proceso. 

Posteriormente, la campaña se puede lanzar utilizando varios formatos. Se pueden organizar talleres para grupos específicos que se centren en las amenazas concretas que se puedan encontrar. Se pueden utilizar vídeos o una serie de vídeos cortos para todos los empleados para explicar los diferentes riesgos y peligros (WAP, phishing, DDoS, cookies, etc.). Utilizar vídeos es una forma muy eficaz, entretenida e intuitiva de ilustrar y explicar los diferentes factores de riesgo que suelen ser intangibles para nosotros como usuarios detrás de nuestros ordenadores. 

Finalmente, este tipo de campañas se pueden utilizar para configurar una competición entre los países de una organización internacional con aplicaciones de juegos, como una forma de generar más interés y compromiso. La compañía puede medir la aceptación de los empleados y verificar si la campaña de concienciación y los programas relacionados está surgiendo efecto.  

Estableciendo un plan de acción a largo plazo

Para que una campaña de ciberseguridad sea eficiente, debe estar pensada para que perdure en el tiempo. El programa debe actualizarse periódicamente, debe tener en cuenta las diferentes disponibilidades de capacitación de los empleados y estar al tanto de los diversos avances tecnológicos. Se han establecido metas para evaluar los logros. Por tanto, los coordinadores de este programa pueden seguir apoyando y promoviendo contenidos de formación para los empleados en consecuencia. Establecer metas de logro año tras año ayuda a crear una dinámica positiva y un círculo virtuoso que, con el tiempo, mantendrá a raya la pandemia para siempre. 

Por lo tanto, el objetivo de una campaña de concienciación sobre ciberseguridad es doble: trata de reunir a todos los empleados y pretende obtener la mayor participación posible. No es más que llevar a cabo la gestión del cambio para todos los empleados de una organización, convocando a todas las partes interesadas a participar para alcanzar el Santo Grial de la ciberseguridad: la inmunidad colectiva. 

Al igual que el coronavirus, es muy posible que surjan nuevas cepas. Cuando se trata de piratas informáticos, es imposible descubrir todos los diferentes trucos que se les ocurren porque, por lo general, van un paso por delante de todos. 

La única forma de mantenerse a salvo en esta guerra tecnológica es aceptar la situación como una oportunidad adicional para derribar las barreras de la innovación y dejarse guiar por ella.

Accede al artículo publicado en SILICON.FR