El Mes de la Ciberseguridad o Mes de la Concientización sobre la Ciberseguridad se celebra en octubre y fue instaurado con el objetivo de promover la ciberseguridad y educar al público sobre su importancia.
Fue declarado por primera vez en 2004 por el entonces presidente de Estados Unidos, George W. Bush, y el Congreso estadounidense, y se busca ayudar a las personas a prevenir y protegerse contra las crecientes amenazas en internet y la protección de sus datos personales.
La iniciativa busca educar al público sobre la importancia de la ciberseguridad, y aunque comenzó en Estados Unidos, se han establecido programas similares en todo el mundo, evidenciando su reconocimiento y relevancia global3.
Con el tiempo, otros países y regiones adoptaron iniciativas similares. Por ejemplo, en 2012, Europa estableció el Mes Europeo de la Ciberseguridad para promover la ciberseguridad entre los ciudadanos y las organizaciones, proporcionando información actualizada sobre ciberseguridad a través de la sensibilización y el intercambio de buenas prácticas.
En este sentido, y coincidiendo con el Mes de la Ciberseguridad, la compañía de servicios tecnológicos, Kyndryl, da las claves para que las empresas aprendan a mitigar los riesgos internos de ciberseguridad y puedan crear una cultura de responsabilidad compartida entre todos los profesionales que forman una organización.
Así, para ayudar a los empleados a mejorar su concienciación, las compañías deberían:
Crear una cultura empresarial de responsabilidad y transparencia
Ningún empleado quiere ser el culpable por hacer clic en el correo electrónico de phishing que causó una violación masiva de datos. Sabiendo esto, los líderes empresariales deben crear un entorno en el que los empleados entiendan que todos desempeñan un papel fundamental en un ambiente ciberresistente.
Además, es importante que los empleados se sientan cómodos informando de cualquier posible problema de seguridad sin vergüenza ni repercusiones. Al proporcionar educación sobre ciberseguridad y hacer hincapié en la importancia de informar de un posible incidente, todos pueden interiorizarlo y comprometerse a construir una cultura ciberresistente y transparente.
Invertir en formación coherente y actualizada
Es fundamental dar prioridad a la educación y formación en ciberseguridad. Las empresas deben validar que la formación sea coherente y explicar su importancia a los empleados.
La formación más eficaz fomenta el compromiso, lo que ayuda a los trabajadores a retener más información. A través de la comunicación y de una formación consistente, toda la plantilla se sentirá más preparada para hacer frente a posibles brechas antes de que causen daños duraderos a la empresa.
Inculcar la conciencia y un escepticismo sano
Con la aparición de la IA generativa, unida a la información de los empleados en las redes sociales, a los atacantes les resulta muy fácil elaborar ataques de phishing cada vez más selectivos, mejor ejecutados y más convincentes. Los correos electrónicos o mensajes de texto sospechosos con errores ortográficos o solicitudes urgentes solían ser fáciles de detectar.
Pero con la IA generativa, esos ataques son cada vez más sofisticados y es más difícil diferenciar entre un enlace legítimo y un enlace de phishing disfrazado. Educando a los empleados regularmente sobre estas complejas amenazas y fomentando un saludable nivel de escepticismo, los equipos pueden reconocer y evitar un posible ataque.
Recompensar a los empleados ciberseguros
Cada vez más organizaciones realizan pruebas de simulación de phishing para evaluar la preparación de sus empleados en materia de ciberseguridad. Si bien es esencial apoyar a los empleados que fallan mediante educación y formación adicionales, también es importante recompensar a los que detectan e informan correctamente del ataque.
Contar con un sistema de recompensas incentiva a quienes siguen las mejores prácticas y motiva a los empleados a participar activamente, a seguir sospechando y a potenciar una cultura de concienciación sobre la ciberseguridad.
