- Aplicar programas de concientización en seguridad, simulaciones de ataques y ejercicios de respuesta a incidentes son parte de las tareas que las compañías deben desarrollar para preparar a sus colaboradores y hacer frente a las amenazas.
Para los expertos, no hay un sector en específico de una organización que esté más expuesto a un ciberataque que otra, porque una vulnerabilidad podría generarse en diversas áreas. Sin embargo, sí hay coincidencia en que serían los colaboradores los más vulnerables a amenazas como el phishing, esto debido ‘a que están más expuestos, muchas veces por su falta de conocimiento en prevención y respuesta’, explica Rodrigo Albagli, managing partner de Albagli Zaliasnik.
De hecho Gabriel Croci, C-CISO y director de Seguridad de la Información para América Latina en TCS, puntualiza que los ataques de ‘ingeniería social’ buscan y aprovechan el error humano. Para poder defenderse, dice, es clave la necesidad de ‘una sólida gestión de la capacitación interna’, y hace hincapié en considerar también a los proveedores como una extensión en esta tarea, ya que no siempre ‘les dan el mismo tipo de cuidado que se tiene hacia adentro de la empresa’. Y es que, para asegurar una protección efectiva, la alineación del capital humano es esencial.
El eslabón débil
Para lograr tener una organización con sus diversas cadenas alineadas, Marcelo Díaz, socio de Cyber Risk Deloitte, dice que es clave aplicar programas de concientización en seguridad, simulaciones de ataques y ejercicios de respuesta a incidentes.
‘Hay que recordar que las personas son el eslabón más débil. Se debe fomentar, entonces, una mentalidad proactiva en la identificación y respuesta a posibles ataques, así como fomentar la colaboración y el intercambio de información entre empresas, organizaciones y gobiernos’, añade Díaz.
En ese sentido, Albagli destaca la práctica de fomentar los mecanismos de prueba: ‘El envío de mails imitando ataques phishing es, por ejemplo, una buena medida para capacitar a las personas’.
También es relevante establecer políticas de seguridad en las cuales toda la organización esté involucrada, como Zero Trust,’un marco basado en el principio de ‘nunca confíes, siempre verifica’, aplicado no solo a los humanos sino también a las máquinas y sus procesos’, dice Croci.
Para que estas políticas funcionen, el ejecutivo de TCS puntualiza que las compañías deben potenciar estrategias integrales de ciberseguridad que incluyan evaluaciones periódicas, formación de empleados y capacidades de detección, monitoreo y respuesta, siendo ‘primordial que las organizaciones inviertan en ciberseguridad para prevenir amenazas y adelantarse a los ciberatacantes’.
