El eslabón más débil: el rol del empleado en la Ciberseguridad de la empresa

Marzo 2021

David Pérez Lázaro

David Pérez Lázaro

CEO Cofundador MNEMO Innovate

Autor: Davíd Pérez Lázaro

Cargo: CEO Cofundador MNEMO Innovate

El eslabón más débil: el rol del empleado en

la Ciberseguridad de la empresa

 

Cada año se habla más de la importancia de la formación y concienciación en ciberseguridad, pero las compañías se plantean – independientemente de su madurez en este ámbito – cuál es la mejor estrategia a seguir. Necesariamente un traje a medida…

 

La última línea de defensa son los empleados y, considerando que el 95% de las incidencias en ciberseguridad se deben a errores humanos, resulta muy sorprendente que la formación y concienciación ha sido tradicionalmente el “patito feo” de las inversiones en ciberseguridad de una empresa, con niveles absolutamente desproporcionados en relación con la inversión para proteger la propia tecnología que los empleados usan.

  • Se pueden buscar excusas al ser un tema en una zona gris entre Ciberseguridad y Talento, Personas, Recursos Humanos, …
  • Se puede pensar que tratar los aspectos de comportamiento de los empleados puede ser un asunto delicado
  • Se pueden en definitiva buscar excusas para que los CISOs lo hayan considerado un tema con prioridad baja.

Pero ya no puede haber excusas. La formación y concienciación de los empleados, combinada con distintos tipos de ejercicios – desde Ciberejercicios anuales por el Comité de Dirección hasta un proceso continuación de simulación de email maliciosos – debe ser un punto prioritario en el plan anual de ciberseguridad.

Ya no vale cubrir el expediente con un envío de políticas de seguridad y un curso de refresco anual. Hay que buscar todo tipo de recursos para

  • Que sea más divertido, desmitificando los mensajes, incorporando técnicas de gamificación, haciéndolo más natural para los empleados
  • Que sea obligatorio, que impacte en los objetivos anuales de los empleados y su unidad de negocio
  • Y lo más importante, que se gestione: medir para mejorar y evolucionarlo año a año.

Todo lo anterior no implica ni mucho menos inversiones desorbitadas, solo atención y ponerlo en primera línea de priorización y lo más importante, es válido y necesario tanto para empresas de 20 empleados como de 20.000.