La importancia de la concientización empresarial en ciberseguridad, privacidad y seguridad de la información | Por Fabián Descalzo
Durante la presente era digital, la información y la interconexión empresarial son la base del éxito para el funcionamiento organizacional; los temas de ciberseguridad, privacidad y seguridad de la información emergieron como aspectos críticos en la sostenibilidad y el éxito de una organización.
Las cuatro fases del proceso de aprendizaje: Competencia y Consciencia
El modelo de las cuatro fases de competencia, también conocido como el ciclo de aprendizaje de “competencia consciente”, define los estados psicológicos por los que atraviesa una persona al desarrollar una nueva habilidad.
Este modelo, articulado inicialmente por Martin M. Broadwell en 1969 y posteriormente desarrollado por Noel Burch, es una herramienta valiosa para entender cómo se puede fomentar la concientización en ciberseguridad dentro de una organización.
1. Incompetencia Inconsciente
En esta fase, las personas no son conscientes de su falta de conocimientos o habilidades en un área específica. No reconocen la necesidad de aprender, lo que puede ser un obstáculo significativo en la concientización sobre ciberseguridad.
Este desconocimiento puede llevar a una actitud de falsa seguridad, ya que los empleados no perciben los riesgos a los que están expuestos.
Además, la falta de experiencias previas con amenazas concretas refuerza la idea de que la seguridad no es una prioridad personal. Por ejemplo, un empleado puede no darse cuenta de la importancia de proteger sus dispositivos si nunca ha enfrentado una amenaza directa.
Esto resalta la necesidad de intervenciones proactivas que eduquen y expongan a los empleados a escenarios de riesgo potencial, ayudándoles a comprender las vulnerabilidades existentes y la importancia de adoptar buenas prácticas de seguridad.
2. Incompetencia Consciente
Aquí, el individuo reconoce su déficit de conocimiento y entiende la importancia de adquirir la habilidad. Esta fase es crítica porque implica un despertar a la realidad de lo que no se sabe y la urgencia de aprender.
Cometer errores es común en esta etapa, pero cada error es una oportunidad de aprendizaje invaluable, que contribuye a construir una base sólida de conocimiento.
En términos de ciberseguridad, un empleado puede reconocer la necesidad de aprender sobre autenticación multifactor después de haber sido informado sobre los riesgos asociados con contraseñas débiles.
Además, el conocimiento de los errores previos ayuda a los empleados a visualizar la importancia de medidas de seguridad robustas y a desarrollar un sentido de responsabilidad personal hacia la protección de los datos y la infraestructura tecnológica de la empresa.
3. Competencia Consciente
En esta etapa, la persona sabe cómo realizar la habilidad, pero requiere concentración y esfuerzo consciente para ejecutarla. Esto significa que, aunque ya no es algo completamente desconocido, la ejecución de la habilidad aún demanda una atención constante y detallada para asegurar que se lleve a cabo de manera correcta.
Un empleado que ha recibido capacitación en ciberseguridad puede aplicar las medidas de seguridad aprendidas, aunque aún necesite recordar cada paso deliberadamente.
Cada vez que el empleado aplica estas medidas, su confianza y competencia aumentan, pero todavía necesita estar atento a los detalles para evitar errores.
Esta fase es fundamental para establecer una base sólida, donde la práctica consciente es clave para avanzar hacia una mayor fluidez y automatización en la realización de las tareas de seguridad.
4. Competencia Inconsciente
Finalmente, la habilidad se ha internalizado y puede ser realizada de manera automática, sin necesidad de pensar conscientemente en cada paso. Esta etapa representa la culminación del aprendizaje, donde la repetición y la práctica han llevado a la persona a dominar la habilidad al punto de que se vuelve una segunda naturaleza.
En el contexto empresarial, esto significa que las prácticas de ciberseguridad se convierten en hábitos naturales para los empleados, lo cual incrementa la eficiencia operativa y minimiza los riesgos de seguridad.
Al llegar a este punto, los empleados no solo reducen significativamente el riesgo de errores humanos, sino que también son capaces de responder de manera más rápida y eficaz ante cualquier incidente, contribuyendo así a una cultura de seguridad más sólida y proactiva.
¿Por qué es fundamental la concientización y la educación sobre ciberseguridad?
La concientización y la educación en ciberseguridad son esenciales para mitigar los riesgos asociados con las amenazas digitales. Las estadísticas recientes subrayan la gravedad de este problema:
- Costo de Filtraciones de Datos: En 2023, el costo medio de una filtración de datos fue de 6,5 millones de dólares.
- Tiempo de Acceso por Phishing: Un atacante puede acceder a datos privados en promedio en 1 hora y 12 minutos mediante correos electrónicos de phishing.
- Aplicaciones Maliciosas: El 20% de las aplicaciones de estilo de vida son maliciosas.
- Ataques de Contraseñas: Se registran 5.000 ataques de contraseñas por segundo.
La concientización sobre seguridad implica gestionar los riesgos humanos ofreciendo recursos educativos y de capacitación. Por ejemplo, la autenticación multifactor puede prevenir el 99,9% de los ataques a cuentas, pero su efectividad depende de que los empleados comprendan su importancia y sepan cómo implementarla.
Un caso de éxito de una empresa cercana, que adoptó un enfoque estructurado para educar a sus empleados sobre ciberdefensa. Cada nuevo empleado recibe información práctica y recursos sobre políticas y formación en ciberseguridad desde el primer día, complementado con campañas mensuales de concientización.
¿Qué debemos hacer para prevenirnos frente a los ciberataques?
- Protección de Dispositivos: Mantener software actualizado, configurar actualizaciones automáticas y revisar configuraciones de privacidad y seguridad. Los dispositivos no protegidos son puertas de entrada para ataques maliciosos, y es esencial asegurarse de que todos los sistemas tengan las últimas defensas de seguridad implementadas.
- Gestión de Contraseñas: Utilizar generadores de contraseñas, optar por contraseñas largas y seguras, y emplear administradores de contraseñas. La falta de buenas prácticas en la gestión de contraseñas sigue siendo una de las principales causas de ciberataques exitosos, y la educación sobre cómo crear y gestionar contraseñas adecuadas es clave para mitigar estos riesgos.
- Autenticación Multifactor: Implementar autenticación en dos pasos o biometría para fortalecer la seguridad de las cuentas. La autenticación multifactor añade una capa adicional de seguridad que puede marcar la diferencia en la prevención de accesos no autorizados. Las empresas deben enfatizar la importancia de habilitar este tipo de autenticación siempre que sea posible.
- Prevención del Phishing: Educar sobre los riesgos del phishing y cómo identificar correos electrónicos y enlaces maliciosos. Los ataques de phishing dependen del error humano, y educar a los empleados para reconocer señales de advertencia puede reducir considerablemente la efectividad de estos ataques. Las simulaciones regulares de phishing pueden ser útiles para evaluar y mejorar la capacidad de los empleados para identificar amenazas.
- Seguridad para Todas las Empresas: Las pequeñas y medianas empresas son especialmente vulnerables y deben adoptar prácticas de seguridad adecuadas. Debido a la falta de recursos, estas empresas suelen ser blanco fácil para los atacantes, por lo que la adopción de soluciones asequibles y efectivas de ciberseguridad es fundamental para garantizar su resiliencia.
- Innovación en Seguridad: Aprovechar la inteligencia artificial y otras tecnologías emergentes para mejorar la protección y la eficiencia en la gestión de amenazas. La IA puede ayudar a detectar patrones inusuales y comportamientos sospechosos, lo que permite una respuesta más rápida y eficaz ante potenciales ciberataques. La integración de estas tecnologías debe formar parte de una estrategia de seguridad proactiva y moderna.
En BDO Argentina te ayudamos a construir una cultura de seguridad que involucra a cada miembro del equipo a través de nuestros programas de concientización y capacitación en ciberseguridad que pueden fortalecer la defensa de tu organización contra amenazas digitales.
Fabián Descalzo, Socio & Lider LATAM Cyber/DRAS de BDO en Argentina | Asesor C-Level | Gobierno de tecnología, Seguridad de la información, Ciberseguridad | Innovación y Transformación Digital Segura | Autor y Conferencista Internacional.
BDO Argentina - Ciberseguridad y Gobierno Tecnológico; Nuestra área de servicios se enfoca en los principales pilares que brindan aseguramiento al negocio de nuestros Clientes frente a la innovación, la transformación digital y el uso de la tecnología, tanto en procesos de soporte como los de negocio y productivos.
🙌 Formá parte del Grupo Linkedin “CIBERSEGURIDAD Y GOBIERNOTECNOLÓGICO” 🔗 donde se comparte información para prevenir, proteger y educar.
Además no dejes de visitar nuestro canal de Youtube con temáticas de actualidad sobre gobierno, ciberseguridad y privacidad.
No hay comentarios.