La nueva concienciación que la ciberseguridad requiere

Durante el pasado mes de octubre, los organismos oficiales y las empresas informáticas han aumentado sus campañas en aras de concienciar sobre la importancia de la ciberseguridad. También se han celebrado eventos en los que los mayores expertos del mundo en esta materia han compartido con sus colegas y con el público las últimas novedades al respecto.

Esta concentración de actividad en torno a los ataques informáticos responde a que octubre es el mes de la ciberseguridad. Ahora bien, algunos quizá se pueden preguntar si todavía son necesarios estos altavoces para un problema que, en teoría, conoce ya todo el mundo, especialmente el mundo empresarial.

La respuesta es que los altavoces antes mencionados siguen siendo más necesarios que nunca. El principal motivo es que la ciberseguridad es una materia que dista mucho de estar resuelta o, si quiera, encaminada. Sirva como ejemplo el reciente ataque de ramsomware al gigante Mediamarkt a las puertas del Black Friday, del que todavía trata de recuperarse. También es interesante lo que ocurrió en octubre en un importante medio de comunicación de España, donde un empleado fue atacado por los piratas informáticos con un software malicioso que era capaz de controlar el correo del usuario hasta el punto de enviar mensajes con asuntos específicos a diferentes usuarios, lo que facilitó enormemente la propagación del virus.

Estos ejemplos unidos al cada vez mayor número de ataques informáticos que las empresa sufren cada año evidencian que aún queda mucho camino por recorrer para al menos poder estar a la altura de los malos. Y es que esos malos ya no son unos jovenzuelos con capucha y gafas de pasta que, desde su habitación, se dedica a fastidiar a las empresas con sus conocimientos informáticos. Nada de eso, los atacantes ahora son organizaciones que, en ocasiones, reciben financiación de los propios Gobiernos.

Ahora bien, una cosa es considerar que concienciar sobre la ciberseguridad sigue siendo asignatura obligatoria y otra muy diferente es que no sea necesario realizar cambios en los métodos que se utilizan para ello. En la actualidad, con un mundo conectado y una sociedad más digital, acudir con los mismos mensajes de siempre ofrece resultados poco satisfactorios. Algo que es lógico porque quién se va a concienciar más con mensajes tan obsoletos como “tener el antivirus actualizado” o “no abrir correos sospechosos”. Muy al contrario, ahora es el mejor momento de dar un volatanzo a la estrategia de concienciación cibernética, que debería enfocarse varios elementos: llegar a más público, aumentar la inversión, cambiar el mensaje y hacerlo más específico, y tener en cuenta las nuevas tecnologías.

Ampliar el espectro

Aunque llame la atención, para muchos el tema de la ciberseguridad les sigue sonando a chino. Por ello, los expertos en la materia deben ampliar el círculo de conocimiento, salir de su zona de confort (las empresas) y acercarse a enseñar los peligros de los hackers incluso a las residencias de mayores, los organismos públicos y cualquier lugar susceptible de ser un objetivo de ataque. Solo así se podrá lograr que la ciberseguridad siga siendo vista como un tema que atañe a todos y no como un problema solo de informáticos y grandes empresas.

Aumentar la inversión

El auge en el número de ataques informáticos y el hecho que ninguna empresa, sea grande o pequeña, esté libre de sufrirlos evidencia que tanto el sector público como el privado deben reforzar ya sus inversiones en prevención y en capacidad de recuperación. Debe evitarse que organismos públicos o empresas tarden meses en recuperarse de un ciberataque por los daños que ocasiona a la sociedad o a los clientes en el caso de los negocios.

Un nuevo mensaje y una nueva forma de venderlo

Aún hoy un curso de formación se basa en un señor o señora que con un PowerPoint expone los peligros de los ataques informáticos. Es el momento de cambiar totalmente los métodos de formación para, en primer lugar, poder ampliar la audiencia. Con ese objetivo es preciso que la formación en ciberseguridad vaya más allá del PowerPoint y estudie recurrir a herramientas como los debates, los vídeos, o los juegos para incrementar el grado de concienciación. También puede ser una buena idea utilizar capítulos de las diferentes series que tratan el tema, ya que son interesantes para que la ciberseguridad salga del nicho informático y sea un concepto más popular.

Mensaje específico y nuevas tecnologías
Hablar de “no abrir un correo sospechoso” en la era de la domótica, el internet de las cosas y la nube suena a las historias del abuelo Simpson. Es preciso que la formación vaya más allá de los contenidos manidos y desfasados y explore los peligros que suponen las brechas de seguridad en las nuevas herramientas digitales. Para ello el mensaje y los contenidos con los que se pretende impulsar la concienciación deben ser más específicos.

¿Quiere decir esto que la formación de base (la de no abrir el correo) debe ser eliminada? Nada de eso. Sin duda, sigue siendo necesaria en aras de ampliar el espectro del mensaje (la ‘silent generation’ por ejemplo). Pero si lo que se quiere es salvaguardar a una empresa o a la administración pública de las organizaciones que están detrás de muchos de los ataques que se perpetran en la actualidad, es fundamental ir varios pasos más allá en la capacidad de formación y concienciación.