De nada sirve tener las mejores tecnologías de ciberseguridad para garantizar la seguridad informática de las empresas cuando el 95% de los ciberincidentes se deben a errores humanos. Según datos del Informe Hiscox sobre siniestralidad en el entorno digital, los empleados estuvieron implicados en sus empresas en:

  • 23% de los casos de ransomware.
  • 20% de los ataques dirigidos (planificados y con un objetivo específico).
  • 16% de la fuga y uso inadecuado de la información.
  • 12% las desviaciones fraudulentas de fondos y phishing.
  • 7% de las pérdidas de dispositivos o documentos confidenciales.
  • 6% de las afectaciones de malware.
  • 3% de los fallos en software y hardware.

Vistas las cifras, la formación de los empleados en ciberseguridad es una inversión que toda compañía debería plantearse para evitar ciberincidentes graves.

Cómo concienciar a los empleados de los ciberriesgos

Externalizar la formación sobre seguridad informática puede ser la opción «fácil» en muchas organizaciones, pero no es suficiente. Será crucial el compromiso e implicación de los directivos, liderando la creación de una cultura de la ciberseguridad para que el mensaje cale en todos los trabajadores.

Estas son algunas de las acciones que puede poner en marcha una compañía para concienciar a sus empleados en materia de ciberseguridad.

  • Establecer unas políticas de seguridad claras sobre uso adecuado de los programas y dispositivos de la empresa, del correo electrónico, de la información (datos de clientes, por ejemplo), de la gestión de las contraseñas, etc. Te recomendamos que accedas a la página de Políticas de seguridad para la pyme de INCIBE (Instituto Nacional de Ciberseguridad).
  • La ciberseguridad ha de estar presente en el orden del día de todas las reuniones en las que se aborden cuestiones estratégicas de la compañía. En la 21ª edición de EY Global Information Security Survey solo el 55% de los directivos encuestados consideran la ciberseguridad como un aspecto clave en su estrategia de negocio. Un dato preocupante.
  • Incluir la seguridad informática en el plan anual de formación de la organización. La formación debe ser más práctica que teórica; el formato taller es el idóneo (por ejemplo, cómo detectar el phishing). Las sesiones formativas pueden ser impartidas por proveedores externos de formación (como hemos apuntado más arriba) o bien por personal interno del área IT de la empresa. Esta segunda opción tiene la ventaja de que el formador conoce el negocio y la infraestructura tecnológica de la compañía.