El usuario es el eslabón más IMPORTANTE de la cadena de la seguridad

Esta es la frase, clave desde mi punto de vista, con la que INCIBE promueve el desarrollo de una Cultura en Seguridad en las organizaciones que esté orientada a todos los usuarios y que sirva para establecer unas bases que ayuden a proteger toda la información manejada diariamente.

A pesar de que una gran cantidad de blogs y profesionales hablen al respecto, considero que justo ahora, con la situación que vivimos actualmente como consecuencia del Covid-19, en la que se plantean sobre la mesa nuevos riesgos, es el momento preciso para resaltar la importancia que tiene en la seguridad la formación y concienciación de los usuarios.

Un momento en el que, más allá de la inversión que haya podido realizar cualquier organización en medidas técnicas para proteger sus sistemas y la información que maneja, la seguridad depende al completo de un único filtro, el usuario que se encuentra trabajando en su casa.

Y es que nada más lejos de la realidad, el usuario es el eslabón más débil, y por tanto el más importante, dentro de la cadena de seguridad de la información de cualquier organización. Agravándose con que, progresivamente, los usuarios se han convertido en un foco importante y continuo de ataques.

Por una parte, vemos que las empresas invierten una gran cantidad de recursos en dispositivos y soluciones tecnológicas con el objetivo de proteger, de la mejor manera posible, todos sus sistemas de información. Pero ¿qué pasa con los usuarios? Sabiendo que son el eslabón más débil dentro de la cadena, ¿se invierte lo suficiente en ellos?

Formación para todos

La “formación y concienciación de los usuarios” lleva implícitos tres factores:

  • La formación especializada en seguridad que debe recibir el personal técnico de la organización, encargado de la configuración y mantenimiento de los sistemas de información.
  • La formación que deben recibir los usuarios finales, según el puesto de trabajo, respecto a buenas prácticas comunes que deben aplicar en su actividad diaria.
  • La formación destinada a la alta dirección, destinada a exponer el elevado impacto que podría suponer la materialización de algunos de los riesgos a los que se encuentra expuesta la organización: pérdidas económicas, daño reputacional, interrupción completa o parcial del negocio, etc.

Algunos ejemplos

Para convenceros de que esta necesidad afecta a todo tipo de organizaciones y de la importancia que la misma posee, no voy a utilizar argumentos teóricos, sino todo lo contrario, voy a mostraros distintos acontecimientos en los que, bien por una mala configuración de los sistemas o bien por un ataque dirigido a los usuarios, se ha generado una brecha de seguridad que ha comprometido la información de una organización:

Distintos malware aprovechan Coronavirus como excusa para propagarse

Este portátil de hace 20 años trae información militar alemana clasificada: alguien lo vendió en Ebay por 90 euros

Empresa de marketing expone al público 809 millones de registros

Como habéis podido observar en alguno de los casos planteados, entre la información que puede verse comprometida se encuentran los datos de carácter personal que manejan las organizaciones, provocando que entre en juego el artículo 32 Reglamento General de Protección de Datos, que requiere la aplicación de “medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo”, y las posibles sanciones definidas por incumplir el mismo.

Proteger la información no es exclusivamente importante para el negocio, sino también para cumplir con las exigencias legales vigentes a día de hoy. Un gran paso para conseguir este objetivo es disponer de personal altamente formado y concienciado, lo cual se puede conseguir de múltiples formas, como por ejemplo mediante la gamificación de las sesiones formativas, simulación de ataques de phishing, etc.

En resumen, la importancia de formar y concienciar a los usuarios en materia de seguridad reside en proteger todo el conjunto de información que maneja una organización, de forma que se consigan evitar posibles brechas de seguridad que impliquen tanto sanciones administrativas como daños para el negocio, entre ellos un menoscabo a nivel reputacional.