Dilema
El mes de octubre ha sido declarado Mes de la Ciberseguridad, para llamar la atención sobre (la concientización sobre) la seguridad en línea. Hacks y ataques con ransomwareransomware, son cada vez más comunes. Según el informe de seguridad de Microsoft de 2023, ese año se produjeron hasta cuatro mil ataques por segundo a contraseñas. ¿Pero quién es responsable de tomar medidas contra esto? ¿Deberían los empleadores proporcionar una línea de defensa impenetrable o pueden exigir que los empleados reciban capacitación en ciberseguridad?
Garantizar una buena infraestructura TIC
“A la hora de tomar medidas en materia de ciberseguridad, siempre existe un equilibrio entre seguridad y facilidad de uso”, afirma Patrick Smeets. Trabaja como asesor estratégico en Legian, que brinda a las empresas asesoramiento organizacional en el campo de las TIC. “Se puede intentar cerrar completamente la TI, pero entonces los empleados ya no podrán enviarse correos electrónicos entre sí, lo cual no es deseable”. Además, es imposible hacer que un sistema sea verdaderamente hermético, dice Smeets: “Todo lo que se necesita es que una persona en una organización presione el enlace equivocado y entonces entran los piratas informáticos”.
Según Smeets, las empresas tienen la responsabilidad de elaborar una política de seguridad detallada y una buena infraestructura TIC para que los empleados puedan trabajar de forma segura. “Se ve que muchas organizaciones grandes tienen esto razonablemente en orden y, por ejemplo, una director de seguridad de la información han designado, pero en las pequeñas y medianas empresas esto suele ser muy diferente. Estos empresarios no tienen a nadie responsable de la ciberseguridad o han adquirido un paquete técnico que sólo utilizan parcialmente”.
Formalmente, la responsabilidad de la ciberseguridad no recae en los empleados, afirma Danielk Regterschot. Es abogada en Poelmann van den Broek en Nijmegen y se centra, entre otras cosas, en temas relacionados con las TIC y la ciberseguridad. “Desde el punto de vista jurídico, un ataque de ransomware, por ejemplo, es riesgo de la empresa, aunque una organización puede protegerse si llega a buenos acuerdos sobre copias de seguridad con los servicios de TI que adquiere. El empleado que hace clic en un enlace no se hace responsable de ello”.
Esta responsabilidad de las empresas se ha profundizado en una nueva directiva europea, la directiva de seguridad de redes y de la información (NIS2). Por ejemplo, deben realizar una evaluación de riesgos y luego tomar las medidas adecuadas. También deberán comunicar las incidencias a la autoridad de control de su sector en un plazo de 24 horas. “No todos los sectores están sujetos a esta directiva, pero cada vez más empresas entran en contacto con ella, ya sea directa o indirectamente si son proveedores de una parte a la que se aplica NIS2”, afirma Regterschot. “Como resultado, cada vez está más claro que las empresas tienen el deber de tomar medidas de seguridad”.
“Puedes enseñar a los empleados a reconocer correos electrónicos de phishing con algunos trucos y así prevenir el 98 por ciento de todos los daños”
Enseñar a los empleados a qué prestar atención
Las empresas no pueden garantizar la seguridad por sí solas. “Los ciberataques vienen del exterior, pero los piratas informáticos tienen que entrar de algún modo en la organización”, afirma Regterschot. “Eso puede ser a través de cualquier cosa: una contraseña fácil de descifrar, un enlace, lo que sea. Por eso es importante capacitar a los empleados para que sepan cómo trabajan los piratas informáticos y a qué deben prestar atención”.
Según Smeets, por ejemplo, los correos electrónicos de phishing son cada vez mejores. “Hace dos años todavía estaban llenos de errores ortográficos, pero ya no es así. Sin embargo, con algunos trucos puedes enseñar a los empleados cómo reconocer estos correos electrónicos y prevenir aproximadamente el 98 por ciento del daño”. Hay muchos entrenamientos aburridos y secos, dice Smeets, pero eso no es necesario en absoluto. “Trabajamos con mucho gamificacióneso funciona muy bien”.
Además de la formación, también es importante crear más conciencia entre los empleados, afirma Smeets. “Muchas empresas utilizan ahora la autenticación multifactor, en la que hay que generar un código con el teléfono para iniciar sesión en algún lugar. Mucha gente lo encuentra inconveniente. Para que lo utilicen hay que explicarles paso a paso por qué es necesario, para que comprendan su importancia”. Y, por supuesto, lo que se aprende en los negocios también se puede utilizar en la vida privada, afirma Smeets. “Eso también es bueno enfatizarlo”.
Regterschot aconseja a las empresas que, además de impartir formación, elaboren un protocolo de seguridad. “Es importante que los empleados sepan qué hacer si hay un hackeo o si lo sospechan”. Esto también incluye a las organizaciones que debaten este tema, afirma Regterschot. “Puede parecer estúpido hacer clic en el enlace equivocado, pero simplemente sucede, es un error humano. Una organización debe alentar a esa persona a que se atreva a discutir esto de inmediato, en lugar de mantenerlo en silencio y esperar que funcione”.
Entonces
Tomar medidas en materia de ciberseguridad es muy importante. La nueva directiva europea NIS2 indica que la responsabilidad de esto recae principalmente en las empresas: deben garantizar la infraestructura TIC y los protocolos de seguridad correctos. Pero, en última instancia, una organización sólo está protegida contra ransomware y piratería si los empleados saben cómo manejar sus computadoras y software de manera segura. Por eso es fundamental informar a los empleados sobre la importancia de la ciberseguridad y formarles sobre cómo prevenir y reconocer los ciberataques.