Concienciación sobre los ciberriesgos: ¿cómo afrontar el reto?

La sensibilización no es una opción en ciberseguridad

En muchas organizaciones, los CISO tendrían buenas razones para no hacer de la concienciación sobre los riesgos cibernéticos una prioridad. Pero eso sería un error, dada la creciente importancia de las cuestiones en juego.

La primera razón es organizativa. El trabajo del CISO es transversal, lo que significa que la sensibilización no ocupa todo su tiempo de trabajo. Según la edición 2020 del estudio "Amenazas informáticas y prácticas de seguridad en Francia" del CLUSIF, la sensibilización solo representa el 14% del trabajo diario de los CISO.

Así pues, ante todo, los CISO se enfrentan al problema del tiempo, que a veces se ve agravado por las limitaciones presupuestarias.

Pero más allá de estas consideraciones, el verdadero reto para los CISO a la hora de concienciar es lidiar con el elemento humano, con dos dificultades.

• Actitudes de los empleados

Están los que creen que ya lo saben todo, los que no se sienten concernidos por ciberseguridad, e incluso los que se niegan a seguir instrucciones por reticencia al cambio... ante la variedad de estos comportamientos y la irritación que pueden generar, ¡no siempre es fácil para los CISO mantener la calma y la motivación!

• La postura del CISO

Sensibilizar es como poner en marcha una campaña publicitaria: hay que identificar a los destinatarios, encontrar el mensaje adecuado para cada uno de ellos y, a continuación, elegir los canales adecuados. Sin embargo, los CISO siguen teniendo un perfil predominantemente técnico, por lo que pueden enfrentarse a sus propias dificultades personales (timidez, dudas sobre su potencial creativo, etc.).

Aunque la concienciación sobre los riesgos cibernéticos sea un reto, los CISO deben ir a por todas. De hecho, este es el sentido de la segunda medida de la guía de la ANSSI, que nos recuerda hasta qué punto la concienciación ayuda a establecer y mantener un buen nivel de seguridad:

"Cada usuario es un eslabón de la cadena de los sistemas de información. Como tal, desde su incorporación a la entidad, debe ser informado de las cuestiones de seguridad, de las normas que deben respetarse y de los comportamientos correctos que deben adoptarse en materia de seguridad de los sistemas de información, mediante iniciativas de sensibilización y formación".

La concienciación sobre las reglas básicas es tanto más esencial ahora que las prácticas evolucionan en la dirección de una mayor exposición de las empresas a amenazas de todo tipo (fuente: estudio CLUSIF MIPS, edición 2020, citado anteriormente):

• el 36% de las empresas autoriza el acceso al sistema de información desde el exterior a partir de puestos de trabajo no controlados (cibercafés, puestos de trabajo personales)
• El 70% de las empresas permite el acceso del personal a través de tabletas o teléfonos inteligentes personales (BYOD)
• El 71% admite utilizar mensajeros instantáneos externos (Skyper, Messenger...)
• El 70% autoriza el uso de redes sociales externas (Facebook, Twitter, Linkedin, etc.)

En la práctica, los empleados de cualquier empresa son, por tanto, todos susceptibles, por inadvertencia o desconocimiento, de generar vulnerabilidades, con una lista interminable de malas prácticas: contraseñas demasiado simples o escritas en un papel, divulgación de información sensible en las redes sociales, utilización de un ordenador portátil sin pantalla de confidencialidad cuando se viaja en tren, etc.

Frente a tales excesos, más o menos conscientes, la opción correcta es, sin duda, la concienciación, pero más precisamente la concienciación inteligente.

Los CISO deben combinar concienciación, apropiación y aculturación

Como muchos proyectos de gestión del cambio, la sensibilización a los riesgos cibernéticos es ante todo una cuestión de pequeños pasos. Pero también es una cuestión de eficacia: sea cual sea la organización y los presupuestos asignados, la sensibilización sólo funciona si los usuarios finales se sienten concernidos y responsables. Para lograrlo, los CISO disponen de varias palancas que activar.

Dado que ciberseguridad es asunto de todos, ¿por qué debería ser el CISO la única persona responsable de la concienciación? He aquí una lista de los apoyos que puede buscar, a distintos niveles de la organización.

• Alta dirección

En el marco del diálogo que establecen con sus directivos, todo CISO plantea necesariamente la cuestión de la concienciación. ¿No parece que al Comité Ejecutivo le apasiona el tema? Entonces le toca al CISO inventar una artimaña. Frente al argumento presupuestario, le toca encontrar franjas horarias en las que pueda organizar talleres o discursos a menor coste. ¿Duda el Comité Ejecutivo del valor de las acciones propuestas? No importa: el CISO puede empezar su labor de concienciación atrapando a los directivos (por ejemplo, enviándoles una llave USB) y mostrándoles con el ejemplo lo que puede ocurrir cuando no se tiene cuidado.

• El departamento de comunicación

¿Cómo puede hacerse accesible, o incluso divertido, un mensaje en ciberseguridad ? ¿Qué formatos deben utilizarse? Hablando con el departamento de comunicación, el CISO tiene todas las posibilidades de obtener ayuda creativa y técnica. La guinda del pastel es que esta colaboración también es una oportunidad para concienciar al departamento de los riesgos a los que algunas de sus prácticas de servicio exponen a la empresa (como utilizar los servicios de agencias web sin informar al departamento de TI, por ejemplo).

• El departamento de RRHH

ciberseguridad sigue presentándose como una obligación, a menudo en forma de una carta informática que los empleados deben firmar en el momento de su contratación. Sin embargo, muchos empleados, aunque sean conscientes de que se han comprometido a respetar las normas, tienden a olvidarlas rápidamente... Los RRHH son, por tanto, un valioso aliado para el CISO, que puede recurrir a ellos a lo largo de toda la carrera del empleado (llegada, traslado, fin de contrato).

• Campeones de la seguridad, o early adopters

¿Qué directivos son más receptivos a las charlas sobre ciberseguridad ? ¿Quiénes son los buenos alumnos en sus equipos? El CISO debe identificarlos, porque estos "campeones" llevarán a cabo parte de la misión de evangelización en su nombre, asegurando la difusión de mensajes y buenas prácticas. Al igual que en marketing, los individuos que son los primeros en adoptar una nueva tendencia consiguen arrastrar tras de sí a la mayoría silenciosa, formada por personas que tienden a tener un temperamento "seguidor"... ¡hasta que el movimiento alcanza finalmente a los más resistentes!

La sensibilización no tiene por qué ser cara para ser eficaz. Ante la falta de recursos (e incluso de tiempo), los responsables de la seguridad de la información no deben dudar en utilizar los medios de concienciación existentes, o en injertar sus acciones en las emprendidas por otros departamentos. He aquí dos ejemplos:

• Campañas de vídeo: en Youtube, el grupo de interés público ACYMA (Actions contre la malveillance), más conocido bajo el nombre de "Cibermalveillance", ofrece vídeos gratuitos de sensibilización sobre temas esenciales (utilizar una contraseña demasiado simple, tapar las brechas de seguridad actualizándolas, suplantación de identidad, etc.).
• Obsequios: ¿tiene previsto la empresa repartir alfombrillas de ratón, calendarios o bolígrafos? Son artículos baratos que el CISO puede utilizar para transmitir mensajes breves y que los empleados tendrán delante todo el día.

El fracaso de las campañas de concienciación sobre los ciberriesgos se debe a menudo a la irrelevancia de los medios de comunicación elegidos. Por lo tanto, los CISO deben clasificar los medios y canales a su disposición, utilizando la siguiente lista de comprobación.

• Nivel 1: información simple, de arriba abajo, por correo electrónico, boletín, conferencia o póster. Estos métodos no son muy eficaces: sin ser estimulados, los empleados tienden a no retener el mensaje... ni siquiera a escucharlo o leerlo.
• 2º nivel: información con un poco más de puesta en escena, por ejemplo con vídeos educativos. Más accesible que el contenido escrito y más atractivo, este formato facilita la difusión periódica de mensajes (por ejemplo, proyectando vídeos en las pantallas de las salas de descanso) y produce un mayor impacto.
• 3er nivel: experimentación, con prácticas como el envío de un archivo trampa, para luego poder explicar a los empleados cómo abrirlo podría ser peligroso para todo el sistema de información. Este nivel también corresponde a las operaciones de "choque", como el pirateo de teléfonos con un mensaje de texto durante una convención. Sea cual sea la estratagema utilizada, el efecto beneficioso sigue siendo el mismo: los empleados se sienten concernidos porque han vivido la experiencia y, por tanto, es más probable que recuerden las buenas prácticas a adoptar.
• 4º nivel: la gamificación, o el uso de juegos serios, basados en el aprendizaje experiencial, con el empleado como jugador de pleno derecho. Original e interactivo, este formato representa una inversión importante, pero tiene la ventaja de atraer especialmente a la Generación Y.

Por último, la creación de una identidad visual es una ventaja. Permitirá a los empleados identificar rápidamente los mensajes en ciberseguridad, pero también familiarizarse con el concepto e integrarlo más fácilmente en su vida cotidiana.