Icono del sitio MTP

Concienciar a los empleados, factor clave para el cumplimiento de la GDPR

cumplimiento de la GDPR

La tecnología, más accesible que nunca, se ha convertido en parte fundamental de los negocios y de la vida de las personas. En este sentido, la frontera entre lo privado y lo profesional resulta cada vez más difusa. Tendencias como BYOD se normalizan y, actualmente, millones de empleados en todo el mundo utilizan de forma habitual sus propios dispositivos en su actividad profesional.

Como consecuencia de lo anterior, las personas tienden a pensar que también pueden aprovechar las miles de aplicaciones gratuitas que están a su disposición en Internet para agilizar su labor, por ejemplo, para compartir datos o archivos corporativos con terceros, pero sin preocuparse de saber quién es el propietario de la aplicación o dónde se almacenan esos datos. De esta forma, el Shadow IT, es decir, las soluciones tecnológicas que utilizan los empleados de una organización sin conocimiento de los responsables de TI de sus empresas ya se ha convertido en uno de los mayores riesgos de ciberseguridad para muchas de ellas.

En esta situación, los hackers hacen su agosto. Cada vez les resulta más sencillo hacerse con información crítica de las organizaciones sin necesidad de centrar sus ataques en los Centros de Proceso de Datos (CPDs) en los que se guarda la información más sensible y a los que, tradicionalmente, se ha destinado gran parte del presupuesto de seguridad. Por el contrario, dirigiéndose de forma indiscriminada a activos menos estratégicos, pero mucho más numerosos y peor protegidos, pueden lograr sus objetivos casi sin esfuerzo. Así lo han demostrado ataques de repercusión global, como WannaCry.

La entrada en vigor del nuevo Reglamento Europeo de Protección de Datos (GDPR) en mayo de 2018 va a suponer un antes y un después en todo lo referente a la ciberseguridad de las organizaciones, poniendo orden en esta ciudad sin ley en la que vivimos hasta la fecha. A partir de ahora, cada empresa será responsable de las incidencias de seguridad que sufra y responderá con fuertes sanciones ante cualquier pérdida o filtración de datos.

Las empresas ya están invirtiendo en soluciones enfocadas a la protección e identificación del riesgo de ciberseguridad, como proxys, firewalls, antivirus, VPN, etc., algo que es fundamental, pero que servirá de poco si mantienen en el olvido a uno de los flancos históricamente más sensibles: sus empleados.

La solución: Plan de Concienciación en Ciberseguridad para Empleados

Está demostrado que una gran parte de incidencias se produce por la actividad irresponsable de los empleados, en gran medida por desconocimiento de las amenazas de ciberseguridad existentes. Por ello, resulta de vital importancia dedicar recursos a su formación y concienciación.

El diseño y ejecución de un Plan de Concienciación en Ciberseguridad para Empleados en el que se incluyan distintas actividades de formación y buenas prácticas relacionadas con la seguridad en el puesto de trabajo: uso correcto de dispositivos móviles, USBs, acceso a Wi-Fi, correo electrónico, navegadores, etc., es un paso importante a la hora de avanzar en el cumplimiento de la GDPR.

No es necesario ofrecer a los empleados una formación muy técnica sobre riesgos de ciberseguridad. Mostrándoles una serie de ejemplos concretos de los peligros a los que pueden estar expuestos en su actividad diaria, así como ofreciéndoles unas indicaciones claras sobre lo que deben hacer en cada caso, la organización no solo estará más segura, sino que podrá centrar sus esfuerzos en prevenir otro tipo de ataques más sofisticados.

Un buen comienzo sería comunicar a todo el personal unos puntos básicos de seguridad, como por ejemplo:

Para aumentar la concienciación de los empleados es necesario llevar a cabo una formación proactiva, es decir, no limitarse a informar, sino incluir también ejercicios prácticos que contengan, por ejemplo, ataques dirigidos basados en e-mails maliciosos enviados a empleados. El objetivo es conseguir que las personas vayan aprendiendo e interiorizando las buenas prácticas de seguridad a base de cometer errores. Es, sin duda, la técnica que mejores resultados ofrece.

Por otra parte, no hay que olvidar la conveniencia de incorporar herramientas de seguridad especialmente pensadas para proteger a los empleados de ciertos ataques, como los tipo ransonware. Se trata de herramientas de gestión de privilegios, que ayudan a evitar malas prácticas por parte de los empleados. La incorporación de estas soluciones puede resultar ser un buen complemento hasta que se consiga un nivel mayor de formación y concienciación en ciberseguridad de las personas.

Por Luis Redondo

Responsable del Área de Ciberseguridad de MTP

Salir de la versión móvil