De sobra es conocido que la mejora de la seguridad de las organizaciones, tanto cuando hablamos de la información como de los propios medios físicos, no depende “solo” de la implantación de medidas técnicas de seguridad o la definición de procedimientos; es fundamental la implicación de las personas. No se repite suficiente que el factor humano en un pilar fundamental en la seguridad.
Este hecho no pasa desapercibido para los ciberdelincuentes que aprovechan descuidos, prácticas inseguras de comportamiento y en general falta de formación en materia de seguridad por parte de los empleados para poner en riesgo la seguridad de la organización. Muy bien, pero, ¿se puede culpar al empleado, el usuario final, de esta situación?
El mundo de la seguridad (de la información) lleva muchos años trabajando en la gestión de riesgos como eje central de estudio para la protección de la información y las infraestructuras de las organizaciones. Sin embargo, en lo que a la implicación del empleado se refiere, el enfoque suele ser “no toques nada”.
Con el objetivo de proteger aquello que gestiona, se ha metido al empleado en una burbuja de sobreprotección, lo que se traduce en limitar al máximo sus permisos y su capacidad de acción. Aunque en la teoría esto suena francamente bien, la realidad es que el empleado, nos guste o no, tiene que tocar cosas. Dicho de otra forma, la práctica nos ha demostrado que las paredes de esta burbuja son muy delgadas, y el empleado se enfrenta de manera continua a situaciones de riesgo, sin tener la información, los conocimientos y las herramientas necesarias para protegerse.
Ante esta situación se puede seguir reforzando el papel de la tecnología y los procesos manteniendo al mínimo imprescindible el de las personas (porque como es bien sabido, los sistemas de protección y los procedimientos son infalibles), o bien apostar por fortalecer este último en busca de una posición de equilibro y solidez sobre la que implantar una gestión eficaz de la seguridad.
Para conseguir este objetivo es necesario abordar el problema desde su origen, convirtiendo al empleado en parte de la defensa: “human firewall”. De esta forma, el empleado juega un papel activo y relevante en la gestión de la información que maneja, lo que da lugar a una estrategia de seguridad mucho más robusta.
El primer paso es capacitar al empleado por medio de acciones continuadas de concienciación, formación y prueba en entornos de simulación.
Mediante la concienciación se involucra e implica al empleado en la protección de las tecnologías e información que gestiona, a través del conocimiento y aplicación de las normativas, procedimientos y buenas prácticas en seguridad. Para conseguirlo, hay que mostrar al empleado las amenazas a las que se enfrenta y su posible impacto haciéndole entender el porqué debe realizar una gestión adecuada de la seguridad.
A través de la formación se traslada a la persona el conocimiento necesario para llevar a la práctica una gestión adecuada de la seguridad. Se le forma en cómo hacerlo.
Por último, con el objetivo de mantener actualizados los conocimientos adquiridos dentro de un ciclo de mejora continua, se pone al empleado a prueba mediante ciberejercicios en entornos de simulación.
Una vez capacitado, es cuando se puede dotar al empleados de responsabilidad en la gestión de la seguridad de la información y los medios digitales que maneja, teniendo en cuenta las particularidades de los distintos colectivos que componen una organización, convirtiéndoles en parte activa de la estrategia de defensa.
Tenemos en nuestras organizaciones un ejército dormido, ¿a qué esperamos para activarlo?