Alrededor del 95 % de los ciberataques que sufren las empresas tienen su origen en el factor humano, ya sea por desconocimiento o por error, según el último 'Informe del estado de cultura de ciberseguridad en el entorno empresarial', elaborado por PwC España. "Podría ser mayor, incluso del 100 %, puesto que las empresas están conformadas por personas", asegura Rosa Kariger, Chief Information Security Officer de Iberdrola.
En las grandes compañías, como a la que Kariger pertenece, la ciberseguridad es una prioridad debido a la enorme cantidad de información y datos que se manejan. Generar un Plan de Concienciación ha comenzado a ser imprescindible, especialmente a raíz de la pandemia. Los hackers son conscientes de que las empresas se han vuelto más vulnerables. El teletrabajo ha conllevado una digitalización forzosa y los datos revelan que no se han tomado las medidas de ciberseguridad necesarias.
Según un estudio de Deloitte dedicado al estado de la ciberseguridad en España 2020, el 62% de las compañías reconocen que han sufrido más ataques desde que comenzó el COVID-19. En paralelo, este mismo estudio saca los colores a las empresas en cuanto a la inversión: se ha recortado el 57% del presupuesto destinado a ciberseguridad. "La ciberseguridad tiene que empezar a formar parte de la toma de decisión de los negocios", avisa Kariger.
Más allá de la inversión, generar una cultura de ciberseguridad se postula como la opción más eficaz de hacer entender que las recomendaciones de seguridad "no solo son parte de los departamentos de ciberseguridad", sostiene Kariger, sino que son una parte integral del trabajo, los hábitos y la conducta de los empleados. O dicho de otro modo: los empleados deben ser conscientes de que pueden recibir ciberataques y de que ellos pueden mismos pueden evitarlos.
"Estamos ante un caso claro de 'mejor prevenir que curar'. Las grandes empresas tenemos la seguridad física en nuestro ADN. Contamos con infraestructuras sólidas y vigilancia. ¿Por qué no empezamos a hacer lo mismo con la ciberdelincuencia?", se plantea Kariger. En el caso de Iberdrola, la responsable tiene claro que para lograr este objetivo hay que involucrar a la alta dirección. "Los CEOs de las empresas deben ser los primeros en generar una cultura de cibserguridad en sus negocios".
Ataques como el 'fraude del CEO' –los ciberdelincuentes se hacen pasar por el CEO de la empresa para engañar a los empleados– o el 'phishing' (el hacker suplanta a una organización conocida para obtener información confidencial como contraseñas o datos bancarios) han otorgado en el último año mayor importancia al análisis de superficie de ataque. Es decir, el proceso de mapear qué partes de la empresa son vulnerables y necesitan ser probadas para detectar vulnerabilidades de seguridad.
"Aunque este proceso no debe depender solo de los departamentos de ciberseguridad", asegura Kariger. De hecho, la experta discrepa en cierto modo de la existencia de estos departamentos. "Montar departamentos de ciberseguridad es como dar una falsa sensación de seguridad. Es como intentar demostrar que nos preocupamos por los ciberataques porque tenemos a una gente concreta trabajando en ello. Todos tenemos que ser partícipes de esto, porque, queramos o no, ciberseguridad y seguridad forman un único concepto", reflexiona.
