Casi todas las empresas medianas y grandes ya han sufrido un ciberataque. Las que dicen no haberlo sufrido, probablemente no se han enterado.
Sólo en 2020, los ataques costarán 5,5 trillones de dólares en todo el mundo, más que la suma de la riqueza (PIB) producida anualmente en Brasil, según la Agencia Europea de Seguridad de las Redes y de la Información.
Tras innumerables ataques, pérdidas multimillonarias y reputaciones empañadas, pocas empresas subestiman los ciberataques. Los ciberataques fueron señalados como la principal amenaza para el 64% de las empresas brasileñas que participaron en el 11º Allianz Risk Barometer.
La concientización ha llevado a las grandes organizaciones a invertir grandes sumas de dinero en la creación de una infraestructura contra la intrusión de sistemas por parte de los hackers. Importante, pero no suficiente. Un buen número de organizaciones ha ignorado lo que puede ser el punto más crítico en un ciberataque: las personas.
Sí. Quienes creen que estarán protegidos sólo contratando la mejor tecnología de prevención de ataques se equivocan.
No es exagerado decir que la principal vulnerabilidad de una empresa reside en el comportamiento de los empleados. Nueve de cada diez ataques aprovechan el error humano.
Las personas son el principal canal de entrada para los invasores. Esto puede ocurrir de varias maneras: desde abrir un correo electrónico con malas intenciones, descargar un archivo malicioso o pasar información sigilosa de una empresa a una encuesta falsa.
Los hackers son creativos, y todo lo que se necesita para burlar los complejos sistemas de ciberseguridad de una empresa es un gesto descuidado de un empleado.
Para corregir esta vulnerabilidad, muchas empresas creen que basta con charlas esporádicas o mensajes de correo electrónico alertando sobre el problema con algunos consejos de seguridad. No es mucho.
Las organizaciones deben trabajar la ciberseguridad con sus empleados del mismo modo que trabajan con cuestiones relacionadas a la diversidad. ¿Cómo? Con frecuencia e intensidad.
En otras palabras, del mismo modo que un correo electrónico por aquí y una charla por allá no son suficientes para cambiar la cultura de una organización sobre la importancia de la equidad de género, la idea de la ciberseguridad, para ser interiorizada por cada empleado, debe ser transmitida a través de campañas perennes.
Las campañas deben ser prácticas. Presentar casos de otras empresas para que sirvan de advertencia no funciona. El pensamiento más común ante este planteamiento es el desdén: "Esto aquí no sucedería".
Por lo tanto, se deben crear campañas que aborden la realidad de cada compañía. Esto incluye: simulaciones factibles con el día a día de los empleados, charlas, pruebas, juegos, casos de éxito y fracaso y reconocimiento de buenas prácticas.
La elección de cada acción debe tener en cuenta el comportamiento de los empleados asociado a la cultura de la organización.
Por ejemplo: en algunos entornos, un ejercicio más lúdico puede no crear el compromiso necesario en una determinada empresa, que tendrá más éxito con una acción más "asertiva". En otra empresa, el efecto puede ser el contrario.
El trabajo debe realizarse en cinco etapas:
(1) identificar las ventanas de riesgo de cada grupo para diseñar planes y rutas digitales de transformación;
(2) aumentar la concientización entre todos en la organización acerca de la importancia de la ciberseguridad;
(3) promover comportamientos sostenibles de ciberseguridad que protejan a las personas tanto en el trabajo como en el entorno personal;
(4) llevar a cabo acciones incrementales para cambiar el comportamiento de las personas; y
(5) medir el comportamiento de las personas para comprender su nivel de desarrollo a través de indicadores.
Deben intervenir varias áreas, como marketing y recursos humanos, además del área de TI, por supuesto. Las empresas deben considerar a sus empleados como la primera -y principal- línea de defensa contra los ataques. De lo contrario, en lugar de una fortaleza, serán una vulnerabilidad.