Concienciación en Ingeniería Social

A pesar de los grandes avances tecnológicos de los últimos años y la aparición de dispositivos y entornos de seguridad cada vez más rápidos, eficientes y sofisticados, está demostrado que el principal elemento para garantizar la seguridad de una organización continúa siendo el empleado.

Pero ¿es realmente la clave del puzle de la ciberseguridad?

Si, porque podemos implantar medidas de seguridad como complejos cortafuegos, sistemas de detección de intrusos, sistema de acceso por huella, contraseñas interminables o herramientas “todo en uno” (Antivirus, Malware, Antispyware, etc.), pero al final es el empleado el que gestiona la información, la modifica, la transmite, la elimina y la procesa.

Si, porque podemos aplicar todo tipo de políticas para garantizar que un usuario accede a la información estrictamente necesaria, que esta se almacene de manera segura, se transmita cifrada, pero al final es el empleado quien accede a la información para poder trabajar y quien debe conocer y trabajar con estas medidas.

Si, porque el acceso a la información por parte de los empleados es una necesidad, y esto introduce riesgos que vienen de la mano no solo de empleados mal intencionados, sino de empleados que por desconocimiento o desinformación adoptan aptitudes de riesgo; visitar una página maliciosa, desactivar el antivirus, ejecutar un archivo adjunto al correo electrónico o conectar un USB desconocido a su equipo.

Frente a esto, la opción más inmediata es la limitación radical de los medios de extracción, envío, copia y borrado de información por parte de los empleados o el bloqueo del acceso a web mails externos, el control de los correos enviados a terceros o restricciones en los puertos USB.

Sin embargo, la experiencia demuestra que una estrategia de restricción excesiva es poco efectiva a contraproducente, un gran número de restricciones tiene como resultados:

• Quejas en los usuarios a causa de las dificultades introducidas para desempeñas sus tareas cotidianas.
• Que se ralenticen el funcionamiento de los procesos de negocio con su evidente pérdida de productividad. 

Además, es imposible siempre monitorizar de manera eficiente, transparente y legal la utilización de sistemas como el correo electrónico por parte de los empleados. Y así sucede con otras muchas medidas que pueden ser aparentemente una buena idea.

La solución al problema pasa por trabajar en la concienciación de los usuarios en materia de ciberseguridad. Si logramos que un empleado desconfíe de los adjuntos recibidos por email, mantenga siempre a la vista su portátil en sitios públicos, utilice herramienta de cifrado en sus soportes, habríamos evitar un buen número de amenazas.

Es entonces cuando podremos aplicar las medidas necesarias para mitigar los riesgos restantes, que esta vez sí, proceden de atacantes y usuarios malintencionados.

Para ayudar a las empresas a poner en marcha un proyecto completo que les permita mejorar de manera integral la seguridad de su organización se debe diseñar un programa de concienciación que incorpora múltiples recursos gráficos, elementos interactivos y una programación detallada. Todo ello para mejorar nuestra seguridad desde el propio corazón de nuestra empresa; las personas.

***

Espero que te haya sido de utilidad. Si tienes alguna duda o quieres dejarme feedback puedes escribir un comentario por aquí abajo.

 Fuente: Incibe.