La poca capacitación al personal de las empresas en el país y la región tiene mucho que ver con el creciente número de ataques cibernéticos a diferentes industrias. Esa fue la conclusión a la que llegó el estudio Huellas Digitales, elaborado por una firma dedicada a la ciberseguridad y protección digital.
En la era del trabajo remoto y la transformación digital, las empresas no han logrado adaptar su cultura de seguridad digital con mejores prácticas para los empleados. Según el estudio, publicado recientemente, dos de cada tres organizaciones de la región no ofrecen capacitación en ciberseguridad a sus colaboradores.
Claudio Martinelli, director general para América Latina de Kaspersky, señala que la mayoría de empresas no ha adoptado la capacitación en seguridad como una política permanente para sus trabajadores. Añade que los ciberdelincuentes conocen eso a la perfección y por ello explotan esa vulnerabilidad a su favor.
Los ataques más frecuentes ocurren debido a que al usar cualquier dispositivo conectado a Internet, las personas dejan rastros de su identidad digital. Como credenciales, contraseñas e información que les permite identificarse. En el entorno corporativo, las credenciales representan una gran puerta de entrada a la red de la organización. Por lo tanto, siempre son objeto de estafas en línea.
A decir del experto, desde el inicio de la pandemia ya se revelaban las malas prácticas digitales de las empresas. Un ejemplo es el uso de programas pirata, utilización de contraseñas débiles y la falta de capacitación en seguridad para los empleados. Según él, este escenario puede justificar el creciente número de empresas que son víctimas de ciberataques de ransomware que paralizan sus operaciones.
También destaca cómo un programa de formación bien organizado puede prevenir este tipo de incidentes de seguridad. El estudio reveló que solo 34% de las empresas de América Latina ofrecen a sus empleados capacitación esporádica. O una vez al año, en temas de seguridad informática. En la región, dice el experto, la mayoría de empleados desconoce los daños que un ciberataque puede ocasionar a las empresas.
Cómo dar más capacitaciones
Martinelli explica que la solución a este problema es relativamente sencilla, pues actualmente existen plataformas de
formación personalizadas y enfocadas en los principales conocimientos que debe tener cada perfil de empleado. Estas páginas ofrecen simulacros periódicos para verificar la necesidad de un repaso con el personal. De ese modo, asegurar que la protección de la empresa no fallará por un error humano.
En el caso de Ecuador, Ernesto Pérez, docente de la maestría de Ciberseguridad en la Universidad Internacional SEK, precisa que se cuenta con leyes, reglamentos, normas técnicas y disposiciones que ayudan al ecosistema de seguridad informática.
Además, dice que se cuenta con profesionales calificados y certificados para apoyar a las empresas públicas y privadas a mejorar la seguridad digital. Sin embargo, asegura que es necesario que se utilice ese personal y se le provea de recursos para ejecutar su trabajo.
Raymundo Peixoto, SVP Data Center Solutions para Latam, de Dell Technologies, señala que incluso con defensas cibernéticas sólidas, es imposible que las empresas eviten todos los desastres cibernéticos y su impacto adverso en los datos, la privacidad y la confianza de sus clientes.
Por lo tanto, el objetivo principal debería ser el desarrollo de una estrategia de resiliencia cibernética que pueda anticipar las interrupciones significativas y permita recuperarse rápidamente de ellas. Para él, la verdadera prueba en las empresas debería ser mejorar el nivel de rapidez y facilidad con que las organizaciones pueden volver a sus actividades normales.
Un componente esencial de esa resiliencia -dice- es la creación e implementación de ejercicios exhaustivos de capacitación en seguridad cibernética entre las fuerzas laborales para que estén preparados ante posibles ataques.