¿Cómo concientizar sobre ciberseguridad en época de crisis?
A medida que la pandemia de coronavirus continúa alterando el sistema mundial de salud, económico, y social, los ciberdelincuentes se aprovechan de la cantidad (cada vez mayor) de horas que las personas pasan en línea como consecuencia de las nuevas medidas adoptadas por los países en todo el mundo para detener la propagación del virus.
Aunque no lo creamos las medidas extraordinarias de hoy aumentan el riesgo cibernético de muchas maneras. Los delincuentes cibernéticos atacan con más facilidad los dispositivos a través de los cuales las personas que compran realizan operaciones bancarias y envían o reciben dinero en línea; y lo más triste es que la falta de conciencia sobre la seguridad cibernética hace que la mayoría de tus dispositivos sean un blanco demasiado fácil.
Es así que, la pandemia de COVID-19 pone sobre la mesa nuevas prioridades. Una de ellas es asegurar la efectividad del trabajo desde la casa y proteger al máximo las herramientas "longdistance" sin dificultarlo o hacerlo complicado para los empleados. Esto requiere, por supuesto, cambios en tecnología y procesos.
Además, para que esto funcione, todos los empleados deben conocer, comprender y aceptar las iniciativas de seguridad cibernética de su compañía, y, por supuesto, cuanto más conocimiento y argumentos podamos ofrecerles, mejor. Al igual que con cualquier iniciativa, un programa de concientización exitoso comienza desde la punta de la pirámide e incluye mucho esfuerzo e inversión en la capacitación y educación. Pero eso tampoco es suficiente.
La falla de seguridad que inutiliza a los antivirus más populares
Incluso con controles tecnológicos más estrictos, los empleados que trabajan desde casa deben ejercer su buen juicio para mantener la seguridad de la información que manejan.
El estrés adicional que sienten por todo lo acontecido el mundo puede hacerlas más propensas a prestar menos atención y cometer errores que no cometerían en situaciones normales.
Por otro lado, algunos empleados pueden notar que su comportamiento no se controla como en la oficina y, por lo tanto, optan por participar en prácticas que los abren a otras amenazas, como visitar sitios web que pueden resultar maliciosos y que las redes de la oficina bloquean.
Para esto, la construcción de un "firewall humano" ayuda a garantizar que los empleados que trabajan desde casa hagan su parte para mantener la empresa segura.
El coronavirus puede marcar el inicio del mayor experimento de teletrabajo nunca antes visto en el mundo, lo que implica construir una nueva dinámica entre empleados y empleador, y plantea dificultades de toda índole, incluida la ciberseguridad.
Por ejemplo, un empleado que nunca ha realizado un trabajo remoto de alto riesgo puede encontrar imposible hacerlo debido a los requisitos técnicos tales como la necesidad de utilizar una VPN, etc.
En tales casos, los procesos complementarios de control de seguridad pueden aminorar los riesgos. Una buena idea puede ser el extender temporalmente a los miembros del equipo de seguridad a los centros de llamadas para proporcionar soporte adicional y contrarrestar este tipo de escenarios.
Más relevante aún, es asegurarse que sus esfuerzos de concientización sean escuchados por todos. Para ello toda la empresa debe comunicar abiertamente las amenazas a las que se enfrentan. Si bien el panorama de amenazas de cada organización es diferente, existen factores comunes.
¿Aburrido en cuarentena?: estos son los mejores libros para leer online ¡y de manera gratuita!
Por ejemplo, no hay duda de que casi todas las empresas tendrán que lidiar con ataques de phishing o enlaces maliciosos de redes sociales. Del mismo modo, el ransomware y el malware son extremadamente frecuentes.
Discutir sobre estas amenazas regularmente ya sea en llamadas, e-mails u otros canales de comunicación es muy importante. Crear una cultura en torno a la conciencia de seguridad cibernética en el lugar de trabajo debió ser siempre una prioridad para todas las organizaciones, y hoy, lamentablemente muchos deben implementarla en tiempo récord.
Para finalizar debemos entender que la situación global y las recomendaciones y regulaciones de los gobiernos están cambiando rápidamente. Tomando esto en consideración, las empresas pueden optar por implementar medidas adicionales y adaptarse mejor a la nueva situación; también hay la posibilidad de que nuevos acontecimientos puedan obligarlos a continuar respondiendo reactivamente.
De cualquier manera, la seguridad cibernética debe ser parte de la planificación de TI y de negocios, no algo improvisado. Tener una estrategia lista ante cualquier situación no significa que erradicaremos los riesgos, ya que el cibercrimen está volviéndose cada vez más sofisticado.
Sin embargo, nuestra educación y concientización pueden hacer la diferencia, al igual que nuestros recursos para protegernos y hacer estos ataques cada vez menos dañinos y frecuentes.
(*) CFO de PayPal para América latina.