Implantar una cultura de ciberseguridad, donde se logre cambiar el comportamiento de los usuarios frente a las amenazas, debe ser uno de los principales objetivos en este 2021 de cualquier empresa, sea del tamaño o sector que sea.

Y es que, los datos de un reciente informe son abrumadores por sí solos:

• Según un informe de IBM de 2013, el 95% de los ciberataques que sufren las empresas tienen su origen en el factor humano. Años después parece que nada ha cambiado. De hecho, recientemente la consultora internacional PwC ha “descubierto” que durante 2020, el 95 % de los ciberataques que sufren las empresas siguen teniendo su origen en el factor humano, ya sea por desconocimiento o error.
• El 99% del éxito de los ciberataques se debe al factor humano.
• Solo se invierte un 9% del presupuesto total de ciberseguridad en formación y concienciación. Una cifra muy corta si las empresas se concienciaran de que con esta formación evitarían el 95% de los ataques.
• En un escenario donde las empresas sufren unas pérdidas superiores al billón de euros, con un gasto en prevención de ataques superior a los 240 millones de euros, que a su vez supone unas pérdidas económicas notables para las que los sufren, parece que este 9% de inversión en formación es realmente muy poco significativo.
• Si además tenemos en cuenta que miles, millones de empresas han tenido que reinventarse y digitalizar muchos de sus procesos para poder seguir prestando servicios durante el año pasado de forma muy apresurada…nos encontramos con un panorama en el que muchísimas empresas están asumiendo un riesgo muy alto de sufrir un ciberataque y empeorar el panorama actual.

Esta situación sólo podría mejorar si el equipo humano de la compañía se convierte en la primera línea de defensa, siendo para ello necesario que los presupuestos destinados a la formación y concienciación aumenten considerablemente poniendo foco en implantar una Cultura de Ciberseguridad que aporte, entre otros beneficios, los siguientes:

• Lograr que los usuarios conozcan y eviten amenazas
• Provocar un cambio de comportamiento del usuario frente amenazas cibernéticas
• Minimizar el riesgo corporativo ante ciberataques con foco en usuario.
• Cumplimiento del marco normativo de seguridad: ISO/IEC27001, RGPD, ENS, ISO 22301, NIS, etc
• Reducción de gastos y posibles multas por brechas de seguridad.
• Proteger el activo más importante de la compañía, la información
• Mejorar el uso de la tecnología entre los usuarios.

Tras nuestra experiencia de más de 19 años, en Audea consideramos que, para implantar esta cultura, es necesario establecer un plan estratégico de concienciación y formación en ciberseguridad que, para que sea eficaz, debe tener en cuenta lo siguiente:

• Debe ser continuado en el tiempo. Una acción formativa no conseguirá provocar un cambio de comportamiento.
• Adaptable a la casuística de la organización, al marco normativo de seguridad y personalizada a las funciones y recursos de cada departamento
• Motivadora para el empleado consiguiendo así que su participación sea activa, empleando para ello variedad de recursos, así como metodologías y canales, aportando diversificación en los impactos que el usuario reciba
• Impactante para lograr el cambio de comportamiento frente a amenazas
• Flexible, permitiendo una mejora continua a lo largo del tiempo
• Deben realizarse entrenamientos simulados de ataques de ingeniería social, en los que poder comprobar como va cambiando el comportamiento frente a este tipo de amenazas de forma controlada
• Debe ser capaz de evaluar y medir la madurez de los empleados, lo que permitirá reforzar y mejorar el plan de forma continuada en el tiempo

Elisa Sanchez, Communication & Training Manager de Audea