Las campañas de concienciación en ciberseguridad.

Cómo organizar una campaña efectiva de sensibilización en seguridad digital.

La mayoría de las organizaciones cuentan con sistemas de ciberseguridad y medidas tecnológicas de defensa contra los crecientes ataques informáticos que provienen de todo tipo de ciberdelincuentes. Alrededor de un 70% de estos ataques van dirigidos a los usuarios de ordenadores y teléfonos móviles.

Debido esta realidad, son muchas las empresas y administraciones públicas que se plantean llevar a cabo campañas de concienciación en ciberseguridad orientadas a todos los integrantes de sus respectivas plantillas. Gracias a estas campañas, las organizaciones consiguen sensibilizar a sus usuarios, aumentando su nivel de protección y reduciendo las incidencias de seguridad digital.

Las graves consecuencias de los ataques de ciberseguridad

Todas las organizaciones están expuestas a continuas amenazas de ciberseguridad que suponen importantes riesgos. Tanto las empresas como las administraciones públicas sufren a diario las consecuencias derivadas de las acciones de los ciberdelincuentes. Estas consecuencias son muy variadas e incluyen situaciones como pérdidas económicas, cese temporal de la actividad o exposición de datos sensibles. Por ejemplo, en Noviembre de 2021, una conocida empresa española fabricante de cerveza se vio obligada a detener su producción varios días debido a que una persona descargó un documento de un mensaje de correo electrónico malicioso del tipo ransomware.

Un reciente informe del IC3 (Internet Crime Complaint Center – FBI) contabilizó en el año 2021 unas pérdidas económicas de $6,9 millardos de dólares estadounidenses que corresponden a 847,376 denuncias de personas o entidades afectadas. El mismo informe muestra el claro incremento de las pérdidas económicas año tras año.

Fuente: 2021 Internet Crime Report, FBI’s Internet Crime Complaint Center (IC3) – https://www.ic3.gov/

Ante esta realidad, el objetivo principal de las campañas de concienciación en seguridad digital consiste en modificar los comportamientos de los usuarios ante las amenazas de ciberseguridad. Es decir, se trata de conseguir que los usuarios sean capaces de reconocer amenazas y reaccionen de la forma más adecuada para evitar ser víctimas de los ciberdelincuentes.

Diagnóstico inicial

Una de las acciones que suelen formar parte de las campañas de concienciación consiste en diagnosticar el nivel de conocimientos y habilidades de la plantilla en cuanto a sus capacidades de reconocer y evitar ataques de ciberseguridad.

Una de las formas más habituales de diagnosticar la situación inicial es realizar una simulación de ataque como por ejemplo “Phishing” o “Ransomware” mediante plataformas tecnológicas específicas para este tipo de simulaciones. De esta forma, la propia organización envía un mensaje de correo electrónico “camuflado” a toda la organización y analiza cómo los usuarios interactúan con estos mensajes que tienen las mismas características que los mensajes maliciosos, pero que en el contexto de la simulación de diagnóstico son totalmente inocuos.

Las simulaciones de ataques proporcionan mucha información a los responsables de ciberseguridad de las organizaciones, aunque plantean algunas cuestiones a tener en cuenta. Por ejemplo, el hecho de que un usuario en concreto reaccione correctamente ante un ataque simulado, no garantiza que lo haya hecho de forma consciente. Por otra parte, los usuarios que reaccionan de forma incorrecta pueden verse envueltos en situaciones incómodas que a fin de cuentas han sido creadas por la propia organización.

Otras estrategias de diagnóstico consisten en realizar pruebas como cuestionarios o exámenes de conocimientos iniciales. Este otro enfoque ofrece algunas ventajas: son menos invasivas que las simulaciones y permiten llegar a la práctica totalidad de la plantilla de forma planificada y homogénea

Formación y capacitación en línea

Los cursos de formación y capacitación suelen ser la acción central de las campañas de concienciación en ciberseguridad. La metodología más común son los cursos de autoaprendizaje en línea por las ventajas que aporta en comparación a la formación presencial. La formación en línea es mucho más económica y permite formar a una plantilla numerosa más rápidamente.

Existen cursos en línea altamente efectivos que incorporan actividades interactivas, simulaciones de situaciones reales, ejercicios prácticos y pruebas de evaluación. Estos elementos logran que cada usuario alcance un elevado nivel de protección gracias a los conocimientos y habilidades que se transmiten a los participantes.

Estas son las características principales de un material de aprendizaje efectivo:

  • Simulación de situaciones, utilizando escenarios típicos de trabajo, imágenes, personajes y diálogos que permitan a los participantes identificarse y ubicarse en el contexto, fomentando así el interés por seguir el aprendizaje y alcanzar el nivel de conocimientos y fidelización deseados.
  • Simulaciones interactivas típicas de amenazas de ciberseguridad. Estas simulaciones permitirán guiar a los participantes ante situaciones concretas, facilitando la práctica de comportamientos correctos en un entorno simulado seguro.
  • Conceptos técnicos necesarios para contextualizar los procedimientos de seguridad que sean objeto de aprendizaje.
  • Instrucciones “paso a paso” mediante formatos tutoriales.
  • Recursos didácticos en forma de prácticas, preguntas e interacciones orientadas a mantener la atención de los participantes y aumentar la efectividad del aprendizaje.
  • Brevedad: entre 15 y 20 minutos cada módulo.
  • Aprendizaje medible con capacidad de seguimiento del tiempo empleado y elementos de evaluación de los que obtener informes de resultados.

Mensajes corporativos, posters y banners

Existen muchos otros elementos que complementan los cursos. Por ejemplo, las organizaciones pueden incluir la prevención de riesgos de seguridad digital entre sus mensajes corporativos internos. Con una cierta periodicidad y bajo la esponsorización de la alta dirección, estos mensajes corporativos de sensibilización pueden incluir novedades, recordatorios e información sobre amenazas concretas ante las que sea necesario mantener un nivel de alerta. Un ejemplo de esta práctica son las entidades bancarias hacia sus clientes. La mayoría de estas entidades envían mensajes informando sobre posibles riesgos y pautas a seguir para evitar ser víctimas de fraudes bancarios.

Otros elementos son los banners que se pueden incorporar en páginas web de la intranet corporativa. En esa línea, aunque en el plano físico, otra estrategia consiste en distribuir posters en lugares como zonas de café o salas de reuniones.

Con todos estos elementos, las organizaciones consiguen que la seguridad digital forme parte del día a día de toda la plantilla y por lo tanto aumentan el nivel de protección que depende de los comportamientos de sus usuarios.

Proceso continuo

La concienciación en seguridad digital debe entenderse como un proceso continuado a lo largo del tiempo. Una campaña basada en una única acción perderá su efectividad a medida que pasen los meses. Otro motivo de peso consiste en que constantemente aparecen nuevas amenazas que pueden incluirse en las sucesivas acciones de sensibilización.

Para evitar ese efecto de “olvido”, la prevención en ciberseguridad debe entenderse como un proceso continuado en el que se van sucediendo acciones de aprendizaje, mensajes corporativos y otros elementos descritos anteriormente.