Cada vez más empresas abordan planes para sensibilizar a sus trabajadores en ciberseguridad, conscientes del riesgo que entraña la falta de concienciación y el desconocimiento de las normas básicas.

 

Repsol lleva más de dos años inmersa en una campaña para concienciar a sus empleados sobre ciberseguridad. Vídeos con un toque de humor sobre, por ejemplo, lo que puede hacer un troyano en el ordenador, cartelería digital con recomendaciones, SMS con consejos de seguridad, salvapantallas...la extensa batería de acciones de este plan persigue sensibilizar a los empleados de la importancia de seguir unas normas básicas para no comprometer la seguridad de la empresa.

Repsol no es una excepción. Cada vez son más las empresas españolas que abordan planes de este tipo, conscientes de que el empleado es el eslabón más débil en ciberseguridad.

"Hay que desarrollar una cultura de ciberseguridad entre los empleados porque son ellos quienes manejan la información, que se ha convertido en el principal activo de muchas organizaciones", explicaba Luis Hidalgo, de Relaciones Institucionales del Instituto Nacional de Ciberseguridad (Incibe), en un foro de Autelsi, la Asociación Española de Usuarios de Telecomunicaciones y de la Sociedad de la Información.

La ciberseguridad se ha convertido en un tema prioritario para muchas organizaciones. De hecho, algunas grandes entidades financieras y eléctricas como Iberdrola están dando formación a sus comités de auditoría y consejos de administración para que sean conscientes al más alto nivel de la importancia de este aspecto.

"Todos tienen que estar involucrados, empezando por el consejo. La formación, concienciación y sensibilización de la plantilla en ciberseguridad en de las áreas donde más estamos invirtiendo", reconocía recientemente Enrique Victorero, director de Seguridad Internacional de Iberdrola, en un foro sobre seguridad.

Según un estudio de Cisco basado en una encuesta a 1.000 trabajadores españoles, los empleados son un eslabón muy débil en la cadena de ciberseguridad. La falta de conciencia y desconocimiento -más que la malevolencia- los convierte en una continua fuente de riesgos. Según este informe, menos de la mitad de los trabajadores cree que tienen una responsabilidad a la hora de salvaguardar datos corporativos.

Mala Praxis

Fenómenos como las redes sociales, la nube y el uso de dispositivos personales en el trabajo han difuminado las fronteras entre lo profesional y lo personal, lo que exige que los empleados sigan unas normas básicas de seguridad para no comprometer la seguridad de la empresas. Según un estudio de Aruba, casi un tercio de los trabajadores admite que ha perdido datos corporativos debido al mal uso del dispositivo móvil.

La incorporación al mercado laboral de los millennials, una generación acostumbrada a compartir su vida privada en redes sociales, abre nuevos riesgos en la empresa, que se enfrenta a casos de fuga de información en estas redes.

La solución no es imponer políticas muy restrictivas que pueden tener un impacto negativo sobre la productividad. "Hay que alfabetizar a los empleados para reducir incidentes de ciberseguridad", asegura Ramón Ortiz, responsable de Seguridad de Mediaset, quien señala que hay personas que se resisten a aplicar medidas de seguridad porque las consideran "incómodas".

Las empresas se han dado cuenta que una parte muy importante de los problemas en ese ámbito se deben al desconocimiento de medidas básicas por parte de sus empleados, que en un alto porcentaje tienden a ser confiados.

Esta actitud explica por qué se expanden rápidamente en las empresas ataques de ingeniería social que, en los últimos meses, han afectado a muchas empresas españolas. Son, por ejemplo, correos electrónicos con supuestas notificaciones de Correos que buscan que el usuario descargue un fichero adjunto que instala un software malicioso en el ordenador.

Hay estudios que indican que, en función del grado de sensibilización en temas de seguridad en una compañía, entre el 5% y el 25% de los empleados cae en ataques de phishing.

Incibe cuenta en su web con un kit de concienciación que ayuda a las empresas a fomentar un hábito de seguridad en sus empleados. Pueden recurrir a recursos gráficos, vídeos interactivos o documentación variada. Incluso han creado dos ataques "cebo" que permiten a la empresas evaluar el nivel de concienciación en seguridad y despertar en sus empleados el interés por aprender más sobre prevención y seguridad de la información.

Por ejemplo, las empresas pueden dejar una serie de llaves USB colocadas estratégicamente para ver qué empleados abren un archivo (confidencial.exe), que al ser ejecutado, muestra al usuario un portal web advirtiéndole del peligro que supone lo que acaba de hacer.


Herramienta de diagnóstico

El Instituto Nacional de Ciberseguridad (Incibe) ofrece en su web un kit de autodiagnóstico que permite a las empresas evaluar su nivel de ciberseguridad. A través de una serie de preguntas se guiará al usuario para que determine su estado en seguridad de la información, qué riesgos amenazan el funcionamiento de la empresa y qué aspectos debe mejorar. La herramienta para realizar este autodiagnóstico es anónima.


Consejos básicos de seguridad en el trabajo

Configuración. Hay que configurar la seguridad de los móviles de los empleados con medidas como el cifrado de información, rastreo y borrado seguro. Contraseñas. Los empleados deben concienciarse del uso de contraseñas seguras y cambiarlas con frecuencia. No es recomendable usar una Wifi pública si se trabaja con información sensible. Redes sociales. No hay que usar el correo corporativo para darse de alta en una red social. El empleado debe ser consciente de que no debe compartir información corporativa confidencial en redes sociales. Borrado seguro. Los trabajadores deben asegurarse del borrado seguro de soportes como, por ejemplo, las llaves USB, antes de reutilizarlos o dárselas a otros compañeros de la oficina.

Suscríbete gratuitamente a nuestros boletines

Recibe noticias e ideas en Recursos Humanos.
Suscripción

Utilizamos cookies para ofrecer a nuestras visitas una mejor experiencia de navegación por nuestra web.
Si continúas navegando, consideramos que aceptas su utilización.