Está asentada y muy extendida la idea que la responsabilidad de la seguridad informática recae por completo en los profesionales de Sistemas de una empresa, o en el responsable máximo o CIO, en el caso de las grandes empresas. Ellos son los que cuentan con el conocimiento y los medios técnicos para contrarrestar cualquier ataque y mantener la seguridad, al fin y al cabo.
Sin embargo, la práctica nos dice que estos roles pueden estar capacitados para contener ataques, pero no disponen de suficientes recursos para prevenir, tarea donde necesitan de la colaboración del resto de los empleados.
Las empresas deben estar preparadas para enfrentarse a un ciberataque y proteger sus equipos. Es una amenaza constante que han de saber contrarrestar. Ejemplos recientes y paradigmáticos de ciberataque han sido, por un lado, el ocurrido en 2017, a nivel mundial, y que afectó a Telefónica y, por otro, el que afectó a otras empresas españolas como PRISA o Everis, que sufrieron un ransomware que llegó a secuestrar sus archivos.
En Formadores IT estamos convencidos de la importancia de la ayuda que puede darse desde los departamentos de Formación y de Recursos Humanos para implementar una acción integral que prevenga ataques mediante un plan de trabajo centrado en cuatro fases:
1ª Evaluación y medición
Los trabajos a realizar en la fase inicial deberán estar centrados la medición del riesgo real de la organización, por lo que requerirá el diseño de un plan de trabajo consensuado desde el departamento de Sistemas y el departamento de Formación, así como la aprobación por parte de la dirección, principal interesada en el cumplimiento normativo o compliance, para disponer de una evaluación del nivel de seguridad informática de la organización.
Para ello se deberán ejecutar una serie de acciones mínimas de evaluación inicial de los riesgos más habituales, tales como:
- Simulación de ataques dirigidos a través del correo electrónico de phishing y de ransomware, para un grupo de candidatos aleatorios.
- Simulación de ataques de vishing (phishing telefónico) al menos a diez personas.
- Simulación de ataques mediante pendrives distribuidos.
2ª Formación y concienciación
En un paso siguiente, será esencial formar a los empleados sobre cómo corregir aquellas vulnerabilidades detectadas en la simulación de ataques de la anterior fase de evaluación. Para esto podremos organizar jornadas de formación online de al menos 2 horas, para grupos de entre 20 y 25 personas; siendo la modalidad digital la opción menos costosa y más eficiente. Dichas jornadas deberán estar centradas en compartir conocimientos básicos relativos a la detección y prevención de ciberataques.
3ª Entrenamiento activo
Esta fase consiste en la organización regular de sesiones de entrenamiento a los usuarios, con el fin de comprobar que adquieren la capacidad de detectar los ataques. Esta fase estará centrada en acciones:
- De activación aleatoria.
- Específicas por departamento, rol o usuario.
- Correctoras en cada caso, una vez cometido el error. El usuario recibirá una información donde se explica cómo debería haber procedido y dónde estaban las pistas para detectar que era un ciberataque.
En este sentido, aprender a proteger los dispositivos y redes sociales con un videojuego de aprendizaje dinámico como Crypto es una buena solución para identificar los errores comunes y las malas prácticas que se cometen habitualmente en las organizaciones en relación a la seguridad informática.
Este serious game permite practicar a través de situaciones construidas en torno a una trama argumental. Así, de una manera atractiva e interesante, se puede profundizar en aspectos como la gestión de contraseñas, los riesgos en redes sociales, la seguridad de dispositivos móviles, los riesgos en el uso de redes Wi-Fi públicas, la identificación de virus o malware, los riesgos en el puesto de trabajo, el uso seguro del correo electrónico o la ingeniería social, entre otros.
4ª Análisis e implementación de acciones correctoras
Para terminar, sería pertinente elaborar un informe final con los siguientes objetivos:
- Obtener una visión realista de los diferentes campos de la ciberseguridad actual.
- Comprender la seguridad de forma holística, obteniendo un discurso global que abarque desde la realidad de la vulnerabilidad hasta las políticas y procedimientos de actuación.
- Entender y asimilar los conceptos y tecnologías básicos sobre los que se fundamenta la seguridad lógica de sistemas de información y la ciberseguridad.
- Conocer la última tecnología relacionada con la ciberseguridad.
