Opinión
En el pasado todos hemos sido testigos de varios programas de concientización para diferentes amenazas. Desde el uso del cinturón de seguridad en los ochenta a campañas para tomar medidas contra el embarazo no deseado, las enfermedades de transmisión sexual o la promoción de la vida sana y actividades deportivas.
También hemos criticado entidades públicas y privadas por no realizar este tipo de campañas. Cuántos criticamos, por ejemplo, a las AFP por no explicar bien sus productos a la población o lo clave que es no tener lagunas previsionales a la hora de jubilar, y castigamos una industria por no educarnos sobre sus productos, no hablarnos de sus falencias y a veces ni siquiera de sus bondades.
En esta era digital, donde la información es el activo más importante de toda institución, debemos preocuparnos especialmente de educar a los que trabajan con nosotros, sobre cómo mantener la seguridad de la información en la organización. La seguridad y resiliencia de la organización dependen primordialmente de las personas que la componen.
Con un clic en un correo malicioso, visitando un sitio web fraudulento, sistemas operativos desactualizados o descargados de sitios no oficiales, entre otras cosas, podemos ser nosotros un vector de riesgo para toda la institución.
Con ese inocente clic, en el correo de una promoción por pizza gratis por ejemplo, podemos estar abriendo la puerta para que un ciberdelincuente entre remotamente en nuestro computador y tome control de sus acciones, espíe nuestras rutinas y conozca las vulnerabilidades de nuestra red.
Un delincuente como éste puede llegar a estar sobre 155 días en un computador antes de perpetrar sus crímenes. Su misión no es robar al usuario del computador, es conocer las vulnerabilidades de la institución.
También hemos visto cómo correos electrónicos que simulan contener una factura, esconden en un archivo un virus capaz de encriptar toda la información de la empresa y detener su funcionamiento. Por ejemplo, una empresa – a raíz de estos mismos correos – tuvo que detener sus operaciones por dos días producto de un ransomware (es un tipo de programa dañino que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción), costo que sólo podría ser suplido con la venta de $2 millones USD en nuevos contratos.
Esto pudo ser evitado con una correcta capacitación a toda la organización, donde a través de ataques simulados podamos advertir a los usuarios los riesgos de su comportamiento, sumando a estos videos y charlas que ayuden a disminuir la tasa de caída desde 27% a 13% al tercer mes hasta 2,17% luego de un año de entrenamiento.
Por esto es importante que nos tomemos en serio la educación en ciberseguridad. De nada sirve construir (y pagar) las más altas y fuertes murallas de protección si desde adentro vamos a estar abriendo las puertas cada vez que alguien venga con el cuento del tío.
El país depende hoy tanto de la seguridad física como digital, para ser reconocido como un país seguro, estable y resiliente. En el ranking de los países mejor preparados para enfrentar un ciber ataque (UIT), ocupamos el mediocre lugar 81 de 165, por debajo de Venezuela (80) y lejos de México (28), Uruguay (29) y Brasil (38). Sin embargo, esta es una oportunidad para mejorar rápido.
Nuestros legisladores tomaron este desafío muy en serio y se encuentran actualizando la ley de delitos informáticos y protección de datos. Las empresas están aumentando sus presupuestos en seguridad informática, creando equipos especializados de respuesta de incidentes. A todo esto, hay que sumar la tarea que tienen las universidades e institutos que deben aportar entregando profundos programas enfocados en capacitar a los profesionales de seguridad de acuerdo a estándares internacionales.
Lo más importante es que se empiece a invertir de manera inteligente e iniciemos este proceso con la capacitación de la gente, de este modo iremos generando conciencia especialmente en este mes que es el mes de la ciberseguridad.
