Desde hace más de 20 años, los ciberataques se han enfocado a encontrar los principales huecos en la infraestructura tecnológica y de comunicaciones de las organizaciones, aunque se realizan esfuerzos en capacitar y preparar a los usuarios para identificar un ataque, estos siguen sucediendo y generan millones de dólares en pérdidas para las empresas. Para encontrar la raíz del problema, es necesario abordarlo desde diversos ámbitos:
1. El presupuesto no alcanza para programas de concientización robustos ni continuos. En la mayoría de las organizaciones se destina menos del 10% del presupuesto de seguridad de la información o ciberseguridad anual, para la ejecución de un programa de concientización.
2. Los responsables de seguridad de la información y ciberseguridad de las organizaciones, siguen apostando a mitigar los ataques, solo en la parte tecnológica y digital. La ciberseguridad y seguridad de la información debe ser atendida de arriba abajo, es decir de la Alta Dirección hacia abajo. Esto conlleva una responsabilidad y compromiso importante para el personal C-Level o tomadores de decisión, dado que son ellos quienes deben ser los primeros en estar interesados y comprometidos con todas las actividades que ayuden a disminuir los posibles incidentes, eso incluye por supuesto los programas de concientización. Si solo el área de sistemas informáticos o infraestructura tecnológica se encargan de la concientización, el alcance que puede tener cualquier programa será muy reducido y probablemente falle en los objetivos.
3. La responsabilidad de la capacitación de los usuarios, recae en áreas de recursos humanos que carecen del conocimiento sobre los ataques actuales y cómo explicarlos claramente.
Por: Ing. Jorge Osorio, Co fundador
y Director de Servicios de Consultoría
en CSI Consultores en Seguridad
de la Información, Presidente
del Capítulo (ISC)2
México.