Los ciberataques, por desgracia, no van a desaparecer, sino que todo apunta a que van a aumentar. Por eso, lo que hay que intentar es que las empresas ofrezcan mayor protección a empleados, partners y clientes. De ello está seguro Doug Fisher, CSO de Lenovo, que apunta a la necesidad de empezar por lo básico. Es decir, por el parcheo de fallos de seguridad, impulsando las contraseñas fuertes, añadir la autenticación en dos pasos para acceso a la red y formar a la gente para identificar y evitar ataques de phishing.
Para ello, Fisher opina que es necesario construir una cultura de empresa que ponga la seguridad en primer plano, con la comprensión y aceptación por parte de toda la plantilla de que la seguridad es responsabilidad de todos. Eso implica que todos tienen que tener en consideración las implicaciones de seguridad de cada acción, tanto si es dar acceso a los partners a la red como determinar las funciones de un producto nuevo. En cada caso, debe tenerse siempre en cuenta la seguridad antes de tomar una decisión.
Con estas medidas se puede evitar el phishing en gran medida, por ejemplo. Dando facilidades para informar de correos sospechosos se reducen mucho las posibilidades de que las amenazas lleguen a convertirse en problemas graves.
Otro elemento crítico en el desarrollo de una cultura basada en la seguridad es asegurarse de que todos entienden que estar alerta es un proceso continuo. Nunca hay que dejar de estarlo. Pero ojo, eso no quiere decir que haya que amedrentar a las plantillas para que estén atentos. Hay que asumir que el mensaje se pierde con el tiempo, y también que se cometerán errores. Cómo se reacciona ante estos errores puede marcar la diferencia entre reforzar la cultura de seguridad, o debilitarla.
En la medida de lo posible hay que convertir los incidentes de seguridad en momentos para la enseñanza. Hay que asegurar que todos los implicados comprenden qué salió mal, cuáles fueron las consecuencias y cómo evitar los problemas en el futuro. Si el problema que llevó al error es nuevo, debe desarrollarse una formación nueva para el mayor número de personas posible, con el objetivo de aprender de él.
Además deben reforzarse las políticas de empresa, y hacer un seguimiento de las formaciones sobre las acciones correctas a tomar. Y es importante también celebrar los éxitos, que pueden no ser muchos, pero sirven para levantar la moral. Y sobre todo, agradecer a los empleados que informen de emails sospechosos. Esto levantará la moral, y el sentido de pertenencia, al mismo tiempo que mantendrá alto el nivel de alerta.
