Desarrollar una estrategia de seguridad eficaz en una empresa es difícil. Se vuelve aún más difícil y, sobre todo, costoso cuando los empleados caen en los correos electrónicos de phishing. Por eso, las empresas deben invertir en la concienciación sobre la seguridad.
Facturas, solicitudes de empleo, albaranes y similares: si estos documentos se intercambian digitalmente por correo electrónico, pueden convertirse en una puerta de entrada para que los ciberdelincuentes entren en la red de la empresa. Como advierte el fabricante de seguridad G Data, el correo electrónico sigue siendo la principal vía de ataque a los sistemas informáticos. Esto se debe a que los empleados de cualquier sector, incluido el personal de TI, pueden caer rápidamente en mensajes falsos y ser víctimas de un ataque de phishing.
Se supone que la formación en materia de seguridad resuelve este problema. De este modo, los empleados se sensibilizan ante los peligros informáticos en su trabajo diario y se convierten así en parte de la estrategia de seguridad. "Si se piensa de forma holística en la seguridad informática, no se puede confiar únicamente en las soluciones técnicas, sino que se debe hacer de los empleados una parte integral del concepto de seguridad", apela Nikolas Schran, Product Owner Cyber Defense Academy de G Data. Como informa Schran, las empresas más pequeñas, en particular, no ofrecen una formación completa durante un periodo de tiempo más largo, sino que sólo celebran actos puntuales. Como alternativa, se enviarían de vez en cuando correos electrónicos sobre las amenazas actuales o se proporcionaría información a través de la propia intranet de la empresa.
Las empresas ahorran en el lugar equivocado
Con esta actitud, las empresas sí pueden ahorrar costes. Al fin y al cabo, un taller puntual es más barato que la compra de una plataforma de e-learning para los empleados. Pero un cambio de comportamiento sostenible y una sensibilización real no se producen de esta manera, como advierte G Data. Para calcular los costes de oportunidad de la formación en materia de seguridad, las empresas deben comparar los costes de una interrupción de la actividad de varios días debida a un incidente cibernético con las inversiones. Por no hablar de los posibles daños a la reputación y a la protección de datos. "Especialmente en la situación actual de la oficina en casa, una buena conciencia de seguridad es más importante que nunca. Los empleados están especialmente presionados por la pandemia, la educación en casa y la soledad. En estas situaciones, son especialmente vulnerables a la ingeniería social. Reforzamos a los empleados para que tomen las decisiones correctas incluso en situaciones de estrés y, de este modo, aumentamos la seguridad informática en la empresa", afirma Schran.
Como se ve, las medidas y las inversiones merecen la pena. En una encuesta realizada por encargo de G Data en otoño de 2020, la empresa de estudios de mercado Omniquest preguntó a un total de 200 empresas medianas sobre su conciencia de seguridad. Las empresas participantes tenían en ese momento entre 50 y 1.000 empleados. La industria y el campo de actividad no desempeñaron ningún papel en la encuesta. Un 78% de las PYMES ha aumentado su seguridad informática mediante una formación adecuada y afirma que sus empleados manejan los sistemas informáticos con más cuidado.