El factor humano es, hoy en día, uno de los principales puntos de fallo de las estrategias de ciberseguridad de las empresas españolas y del mundo, en general. De hecho, distintos estudios confirman que entre el 75 y 95% de los incidentes de seguridad se originan por un fallo humano.
Este es un dato que pone de relieve que las empresas no están implementando programas de concienciación o, si lo hacen, éste no es del todo eficaz, y eso pese a que destinan partidas presupuestarias a este objetivo. Aunque hay empresas que no invierten nada o realizan acciones poco efectivas, como las presentaciones grabadas, un estudio de PwC indica que las empresas con más de 500 empleados destinan el 9% de su presupuesto de ciberseguridad a concienciar en esta materia.
Sin embargo, según Innovery, invertir en concienciación no es lo mismo que concienciar. La multinacional especializada en ciberseguridad considera que el primer paso para la ejecución de un plan de concienciación empieza con el compromiso de la dirección, ya que sin su implicación llegará el rechazo del resto de la plantilla. “Si la directiva no está alineada y no le da la importancia que merece este proceso, este no va a funcionar correctamente y cualquier esfuerzo será en vano. Es necesaria su participación y visibilidad en este cambio cultural de la compañía”, expone César Cidraque, especialista de la compañía para España, Latam y EE.UU.
Los expertos de la firma también subrayan que el desconocimiento en esta materia, sumado a que los contenidos no son atractivos para ellos y que no demuestran la realidad del problema, lleva a restar la importancia que merece. “Se emplean mensajes muy simples que no enganchan a los trabajadores, y mucho menos a un directivo. En este punto es fundamental cuidar el mensaje que se transmite y la forma en la que se da. No se puede tratar un problema tan serio de forma tan simple”, asegura Cidraque.
Otro de los retos reside en que este tipo de programas no son diseñados por expertos en concienciación, sino por expertos en ciberseguridad. En este sentido, Innovery recomienda que se recurra a plataformas especializadas. Mar Sánchez, Business Development Manager de Cyber Guru, advierte de que “muchas de las cosas que se quieren enseñar mediante un programa de concienciación, el usuario ya las conoce, pero pese a saberlas, no las aplica porque no solo se trata de enseñar, sino de que el trabajador asimile el mensaje, lo haga suyo y, sobre todo, que lo aplique en su día a día”.
La implementación de los procesos de concienciación forma parte del cambio cultural en una organización, proceso que hay que poner en marcha con cuidado y en el que hay que implicar a todos los departamentos. “No se trata de priorizar a unos empleados en esta ecuación, sería un proceso tan ineficiente que tan solo protegería a una pequeña parte de la empresa. Cuando se aborda un programa de estas características, es importante tener a la dirección de nuestro lado, pero, al mismo tiempo, fomentar la participación de toda la organización, todo alineado”, continúa César Cidraque.
Además, en gran parte de las empresas, más del 50% de los procesos los ejecuta un tercero, por lo que los proveedores también deben poner en marcha medidas de concienciación o también supondrán la puerta de entrada de ciberataques.