Algunos conceptos equivocados acerca de la ciberseguridad
Por Víctor Ruiz
Fundador de SILIKN
Debido a la pandemia provocada por el COVID-19, millones de empleados ahora tienen que trabajar seguros desde casa, por lo que es muy importante aclarar algunas ideas erróneas acerca de la ciberseguridad que hacen que los usuarios estén más vulnerables que nunca.
Una de las ideas equivocadas más comunes es pensar que los equipos de seguridad informática de las empresas nos van a proteger todo el tiempo. Muchos empleados argumentan que no son particularmente técnicos, por lo que simplemente delegan el trabajo de mantener su seguridad y la de la empresa en otra persona. Pero en un momento en que cada empleado usa múltiples dispositivos conectados y los piratas informáticos se dirigen cada vez más a personas en compañías enteras, no hay excusa para dejar la seguridad cibernética a otra persona.
La gente piensa que el equipo de seguridad se encargará de todo y mientras pueden hacer lo que quieran. Esto no es solo incorrecto, es lo contrario de la verdad. La ingeniería social, el engaño y la manipulación de los seres humanos para infiltrarse en una empresa, es el tipo de ciberataque más común y costoso. Y cualquiera puede ser un objetivo, desde una recepcionista hasta un CEO.
De acuerdo a una encuesta realizada en 2018por el Instituto Ponemon, las compañías citan su incapacidad para contratar y retener personal experto como uno de los mayores problemas de ciberseguridad que enfrentan. Mientras tanto, clasifican los factores humanos como una de sus vulnerabilidades más graves. Ambos problemas apuntan a una solución única: capacitar a los empleados para que sean defensores de la seguridad cibernética en todos los niveles de la empresa.
Otra idea errónea es pensar que los profesionales de tecnología no son víctimas de ciberataques. Muchas compañías piensan que un equipo de tecnología bien entrenado es toda la protección que necesitan contra los ataques cibernéticos, pero este es otro error peligroso, pues incluso los profesionales caen en ataques de ingeniería social. Las personas siempre buscarán la manera fácil de hacer las cosas, incluidos los profesionales de sistemas.
Es por esto que en Silikn recomienda la capacitación continua en toda la empresa, y no solo la capacitación anual de cumplimiento de políticas y normativas. La capacitación práctica y frecuente es la forma más efectiva para que las empresas se mantengan seguras. Esto es particularmente importante para las pequeñas y medianas empresas (PyMEs) que constituyen el núcleo de la economía nacional. Muchas PyMEs no pueden permitirse equipos de seguridad de sistemas dedicados, lo que hace que la capacitación en ciberseguridad de toda la empresa sea aún más importante para ellos.
Incluso si los profesionales de tecnología fueran capaces de detectar y frustrar cada ataque cibernético, lo cual ciertamente no es el caso, muchas compañías aún se quedarían sin defensas, ya que la mayoría de las compañías no tienen los recursos para construir sus propios equipos de sistemas. Esta es solo una razón más por la que las plataformas de ciberseguridad efectivas tienen que incluir a todos.
Otro fallo es pensar que los ataques cibernéticos se limitan solo al mundo digital. Una vez que finalmente regresemos a la oficina, es esencial recordar que la seguridad física es, de hecho, un elemento crucial de cualquier plataforma robusta de seguridad cibernética. Muchas violaciones importantes han sido causadas por una unidad USB colocada estratégicamente, una computadora portátil robada o alguna otra forma de infiltración física.
Por ejemplo, el caso del gusano Stuxnet que devastó la instalación nuclear de Natanz en Irán se entregó a través de una unidad USB que se conectó directamente a una de las computadoras de la instalación. Las unidades USB infectadas incluso se han entregado en conferencias de negocios. La seguridad física también es ciberseguridad.
Las plataformas de ciberseguridad fuertes no se pueden construir sobre ideas equivocadas. El mito más destructivo es la noción de que la seguridad cibernética es responsabilidad de otra persona. Cada empleado tiene que estar armado contra los ataques cibernéticos, y si bien esto puede sonar un poco desalentador al principio, los empleados que son capaces de mantenerse a sí mismos y a sus empresas a salvo descubrirán que eso les brinda control y les genera productividad.