La sociedad, en esencia, se trata de una lucha de buenos contra malos. Y ahora ese campo de batalla se ha trasladado al entorno digital, y los ciberdelicuentes son el enemigo. Un objetivo muy goloso para hacer daño son las empresas. Por este motivo gastan grandes sumas de dinero en protegerse, pero resulta que hay un enemigo más peligroso que tienen en casa: el empleado despistado.
De pequeño le han dicho a todo el mundo que si en su casa no rompía las cosas, por qué lo hacía en el colegio. Este argumento se puede utilizar para cualquier empleado que trabaje con un PC o dispositivo tecnológico: si en tu casa no abrirías cualquier correo, o entrarías en cualquier tipo de web, ¿por qué lo haces en el trabajo?
Las empresas, sobre todo las grandes, se han convertido en un objetivo prioritario para los cacos tecnológicos. Pese a la inversión para proteger los equipos, sus datos hacen muy goloso hackear y robar todo tipo de información. A esto se suma, según cuenta a SABEMOS el director general de Kaspersky Lab Iberia, Alfonso Ramírez, un doble problema: que los ataques se han vuelto más sofisticados y los empleados más pasotas.
Asegura el directivo que hace unos años la forma de atacar a una empresa era frontal, de cara. Tiraban un firewall y buscaban la vía para acceder. Pero ahora ha cambiado. Explica, con cierta ironía, que los malos son gente creativa, y se han dado cuenta de que el ataque social, es decir, a través de las personas (y sus despistes) puede salir bastante más barato. “En los últimos tres años, utilizando la ingeniería social se ha multiplicado exponencialmente el número de ataques”, añade Alfonso Ramírez.
Ante esta situación, Kaspersky ha visto un nicho de negocio bastante interesante. Viendo que los empleados son un coladero de problemas para las empresas (sobre todo las grandes), y teniendo en cuenta que no pueden tener una niñera en cada sitio, lo mejor es formar e informar sobre la situación. De este modo, han creado una serie de cursos destinados a las empresas para abordar la situación.
Se trata de Security Awareness Training. El objetivo que se marca la compañía es permitir la construcción de una cultura basada en la ciberseguridad. Para ello se ofrece a los empleados una motivación y un conocimiento adecuado para reconocer y evitar ciberamenazas. Según las cifras que maneja Kaspersky, existe un 93% de probabilidades de que el conocimiento adquirido sobre ciberseguridad se aplique en el día a día y que provoque una disminución en el número de incidentes hasta en un 90%.
Los empleados son conscientes de los riesgos
“Todos piensan que el estar dentro de la empresa, si pasa algo, no es culpa suya”. Así de tajante se muestra Alfonso Ramírez. Asegura que no se trata de que haya poca conciencia por parte de los trabajadores en las empresas sobre lo que puede ocurrir, es que simplemente en muchos casos les da lo mismo. Pero «el desastre que pueden armar es brutal».
Parte de este problema tiene sentido porque los trabajadores ni son conscientes de los riesgos y, lo que es peor, tampoco piensan en las consecuencias o las implicaciones que puede tener para su empresa una falla de seguridad.
Por eso, Alfonso Ramírez cree que estos cursos tienen sentido. Piensa que las empresas empiezan a ser conscientes de que “hay amenazas que no se pueden parar por un antivirus”. Por eso mismo, y, sobre todo, porque un antivirus lo que nunca puede parar es a un empleado despistado, la formación es un gran remedio.
¿Y cuál puede ser el coste del despiste?
“El ataque a una empresa no se mide solo en el tiempo que se está parado y lo que no se factura en todo ese tiempo. Luego también hay otro factor muy importante que es el de la reputación”. De hecho, asegura Alfonso Ramírez que muchas empresas quedan inhabilitadas de cara al usuario para cualquier tipo de servicio.
Lo que parece claro es que las cifras parecen bastante tozudas como para tomar en serio el asunto. Según la compañía, de media, las empresas pagan 495.000 euros para recuperarse de las brechas de seguridad, mientras que las pymes gastan 34.100 euros.
La próxima vez que alguien esté en el trabajo y le llegue un correo sin saber muy bien cuál es el remitente… debería pensar si en su casa también lo abriría.