La concienciación sobre la ciberseguridad sigue siendo importante

El pasado octubre fue el Mes de la Concienciación sobre la Ciberseguridad, cuyo objetivo es impulsar la seguridad online. Ante esta celebración surge la pregunta, como todos los años, de si es necesaria una mayor concienciación o si realmente tiene algún sentido la declaración de un mes de la ciberseguridad.

El dicho que afirma que "el conocimiento es la mitad de la batalla" parece que ya no es cierto. La cuestión es que el Mes de la Concienciación sobre la Ciberseguridad sigue siendo muy relevante, quizá incluso más importante que nunca. Sin embargo, está visto que no sirve ir con el mismo mensaje de siempre al mismo público. No es el momento de machacar a las empresas con recordatorios de que usen el antivirus y lo mantengan actualizado o de que "piensen antes de hacer clic". Por el contrario, es la hora de ampliar los límites de la concienciación cibernética de tres maneras: nuevas audiencias, mensajes más profundos e innovación, especialmente en torno a la tecnología emergente.

No todo el mundo ha escuchado el mensaje, incluso en esta época. Es cierto que todos vivimos en un mundo conectado, pero es necesario que salgamos de nuestra zona de confort y nos dirijamos a nuevos públicos. Desde las residencias de ancianos hasta las reuniones del Ayuntamiento y otras instituciones, podemos sacar la cabeza colectivamente de nuestros agujeros. Es el momento de salir de nuestras oficinas y, ahora, nuestras casas convertidas en oficinas, para mantener nuevas conversaciones y concienciar a una nueva audiencia.

Si algo hemos aprendido de la avalancha de ataques de ransomware en este año 2021, tanto el sector público como el privado deben invertir ya mismo para reforzar la prevención y la detección y mejorar la capacidad de recuperación ante ciberataques. Podemos responder al fuego con fuego. Seguro que los actores de las amenazas entrarán en nuestros sistemas, pero no importa. Es posible hacer que eso no signifique nada. Es posible ralentizarlos. Es posible limitar lo que ven. Es posible asegurar una rápida detección y expulsión sin que causen daños. Es posible, en definitiva, hacer que las brechas de seguridad materiales sean cosa del pasado. Entonces, ¿qué sucede si los asaltantes a nuestra organización consiguen un punto de apoyo en las murallas? Si contamos con las defensas adecuadas, no pasa nada. Es posible mantenerlos fuera del castillo planificando y siendo inteligentes con antelación y estableciendo las protecciones más oportunas.

Pero también es posible ser más interesantes en la forma de concienciar. Atrás han quedado los días de presentar un powerpoint y ofrecer una escueta formación, la absolutamente esencial, para formar a los nuevos empleados de las organizaciones en el cumplimiento básico de la ciberseguridad. Que no se me malinterprete: debemos seguir promoviendo formación cibernética al principio o al final del año fiscal, pero la celebración del Mes de la Concienciación sobre la Ciberseguridad es la oportunidad perfecta para proponer una serie de iniciativas, como breves charlas, vídeos, sesiones de preguntas, e incluso concursos y gamificación de la concienciación.

Enseñemos algo más que las normas básicas, que no van a ninguna parte, y hagamos de la ciberseguridad un tema interesante que implique a todos. Desafiémonos a explorar los temas en los que no buceamos lo suficiente, como la seguridad en la nube, qué hacer con la domótica (noticia: con el COVID-19 las estrategias de "mantener el IoT fuera de la empresa" han fracasado porque la empresa se ha pasado al IoT). Cualquiera puede participar en la ciberseguridad y debería hacerlo, no sólo los hombres y mujeres del Centro de Operaciones de Seguridad de cada organización o aquellos que persiguen los resultados de las auditorías.

Esto plantea la cuestión de los mensajes más profundos, tanto en el ámbito específico como en el de la formación en codificación segura, o tal vez en el de la revisión de las antiguas políticas y en el de asegurarse de que siguen siendo relevantes (estoy pensando en las políticas de contraseñas obsoletas). Para ello, es imprescindible que hagamos de la ciberseguridad una cuestión interesante. Y lo que es más importante, podemos cuestionar nuestros propios supuestos dentro de la seguridad. Es necesario llevar sangre fresca a los grupos de reflexión para la resolución de problemas, organizar verdaderos maratones de hackers, o quizás tomarse el tiempo de averiguar con una o dos encuestas lo que la gente quiere saber o sobre qué cuestiones está confundida. Si los profesionales de la ciberseguridad no quieren que la gente ponga los ojos en blanco ante las mismas frases y enseñanzas trilladas de siempre, y quieren que la gente se entusiasme con el Mes de la Concienciación Cibernética, pueden organizar una noche de visionado para repasar los mejores capítulos de la serie Mr. Robot, o quizás un documental o una película de Hollywood sobre la que luego harán una charla de si es realidad o ficción.

En resumen, hagamos que el Mes de la Concienciación sobre la Ciberseguridad sea tan atractivo como debería ser y no sólo una excusa para un powerpoint en la reunión de la empresa. El mayor problema de la seguridad es la falta de alineación e integración con el resto de la empresa. Así que insistamos en esta cuestión durante este mes de octubre.