¿Por qué debemos potenciar esa concienciación de los usuarios en Ciberseguridad?

Muchos, sobre todo los que tenemos formación técnica, tendemos a echarle la culpa de los problemas informáticos al usuario final. Al fin y al cabo, ese trabajador, que lo único que quiere es terminar cuanto antes un informe urgente para su jefe, es la persona que ha hecho click donde no debía, desatando una cadena de infecciones por toda la red.

Pero… ¿Tienen los usuarios la culpa de que un equipo sea vulnerable a una nueva variante de ransomware? ¿Podrían haber hecho algo para evitar que los sistemas de toda la compañía queden inutilizados?

Durante este artículo intentaré responder a estas preguntas desde 2 puntos de vista: La tecnología y el usuario.

Primera línea de defensa: La tecnología

Si intentamos comparar la edad de el sector informático con otros sectores, como por ejemplo el de la automoción, la informática es un bebé. Llevamos pocos años fabricando y trabajando con PCs, redes, firewalls, antivirus… Todo es razonablemente nuevo, y en algunos casos, distan mucho de la perfección. Seamos realistas, un PC no sale de fábrica siendo seguro.

Pero, antes de llevarnos las manos a la cabeza, volvamos al sector de la automoción. Los primeros vehículos volcaban con facilidad y no llevaban cinturón de seguridad. Tener un accidente o no dependía de la pericia del piloto. Hoy nos parecería impensable que se concibiera un coche sin cinturón de seguridad, sin airbags, o sin ABS. Por ejemplo, este último, a pesar de que se estrenó en un Mercedes-Benz en 1978, sólo es obligatorio en coches a partir del 2003. Tardamos 25 años en asegurarnos de que todos los vehículos salieran de fábrica con este sistema de seguridad.

Ahora, en el año 2020, ¿es obligatorio que un PC salga de fábrica con cinturones de seguridad, airbags, o ABS?. Es muy probable que un equipo de usuario comprado hoy no lleve medidas de seguridad eficaces, como, por ejemplo:

  • Sistemas contra ataques de día 0
  • Anti-ransomware
  • Cifrado completo del disco duro

Con esto no quiero decir que vengan totalmente “desnudos”, alguna medida de seguridad básica implementan de fábrica, pero si echamos un ojo a las noticias sobre los últimos ciberataques, no parecen suficientes para evitar accidentes graves.

La tecnología para proteger nuestra información existe, y es razonablemente eficaz, pero es voluntaria. Alguien ha de ocuparse de diseñar, instalar y mantener medidas de ciberseguridad probadas y eficaces.

Segunda y última de línea de defensa: El usuario

concienciación en ciberseguridad Global Technology ciberataquesUna vez asumido que, aunque hayamos implementado los sistemas de protección más avanzados del mercado, podemos ser víctimas de un ciberataque… ¿Qué más podemos hacer?

Aquí entra en juego el usuario, nuestra última línea de defesa. Eso es, aquel humano que estaba intentando terminar un informe urgente para su jefe, que no tiene experiencia con nada relacionado con la ciberseguridad. Estamos pidiendo a un contable, un abogado, o un médico que luche contra auténticos expertos en técnicas de hacking (no ético precisamente). Suena un poco desesperado, ¿verdad?

Aunque a mi modo de entender la ciberseguridad, no deberíamos cargar a los usuarios con esta responsabilidad, la realidad es que la batalla se suele ganar o perder en un solo click.

Si hemos dicho que el usuario es nuestra última línea de defensa, que menos que darles armas contundentes, armas eficaces que les ayuden a proteger la información con la que trabajan. A través de píldoras de concienciación, debemos ayudar a que todos los integrantes de una organización sean capaces de discernir entre un correo bueno o uno malo, entre un fichero sospechoso y otro legítimo.

Estas píldoras han de responder a un proceso de concienciación estructurado, no sólo acciones aisladas. Dicho proceso debe estar basado en emails recordatorio, charlas presenciales/online, herramientas automáticas, etc.

Estas y otras muchas técnicas de concienciación, convertirán a la última (y a veces desesperada) línea de defensa, en nuestra mejor defensa.

Conclusión

Como no podría ser de otra forma, la conclusión ha de responder la pregunta que he utilizado con título de este artículo: ¿Por qué debemos potenciar la concienciación de los usuarios en ciberseguridad?

Seguro que podemos encontrar más razones, pero aquí tenéis 2:

  1. Aunque los sistemas de protección eficaces existen y son vitales para mitigar los riesgos a los que nos enfrentamos, no son perfectos. La tecnología no es perfecta, y necesita ayuda para no ser vulnerada.
  2. Sea justo o no, una parte de la responsabilidad de la defensa de nuestros sistemas de información recae en el usuario final. Debemos darle armas suficientes a través de formación, concienciación y capacitación en materia de Ciberseguridad.

Y para reforzar el contenido de mi artículo, os dejo el resúmen del webinar sobre concienciación en ciberseguridad dedicado al phishing que emitimos en Global Technology el pasado 7 de Abril.