Cubadebate

Sean todos bienvenidos una vez más a Código Seguro, en el día de hoy mis estimados lectores, a pocas horas de graduar a la primera generación de Ingenieros en Ciberseguridad de nuestro país, les hablaré acerca del impacto que tiene la formación en esta área del conocimiento para la sociedad actual. La formación en ciberseguridad no solo es una herramienta vital para proteger datos sensibles, sino también una inversión en la resiliencia y la confianza digital.

La ciberseguridad sigue siendo un problema creciente, con ciberataques que causan pérdidas financieras y de productividad y reputación. Especialmente en un entorno organizativo, el comportamiento del usuario final desempeña un papel esencial para lograr un alto nivel de ciberseguridad. Desde ataques de ransomware hasta violaciones de datos masivas, los ciberdelincuentes están constantemente desarrollando nuevas tácticas para explotar las debilidades en los sistemas de seguridad. Según un informe reciente, los ciberataques han aumentado un 50% en el último año, afectando a empresas de todos los tamaños y sectores.

Muchos de estos ciberataques se atribuyen a vulnerabilidades asociadas a agentes humanos dentro de las organizaciones. Las causas pueden ser diversas, algunos incidentes se deben a información almacenada en un archivo no seguro, y otros a la reutilización de una contraseña en varias cuentas de una determinada organización. Algunos ataques a nuestras instituciones se producen con mayor frecuencia a través de mensajes de phishing, como el reciente hecho que se produjo compartiendo enlaces a través de grupos en aplicaciones de mensajería instantánea, de una supuesta oferta lanzada por Habana Club con premios muy atractivos, alineados a esta época festiva que normalmente vivimos en el último mes del año.

Hay que saber reconocer a tiempo este tipo de estafas. Sin dudas, los daños resultantes de las acciones humanas (o de su omisión) pueden ser graves, con consecuencias como la pérdida de productividad, pérdidas monetarias y disminución de la credibilidad y reputación de las organizaciones. Además, las consecuencias no suelen ser visibles de inmediato. Esto repercute negativamente en el sentido de urgencia que los empleados asocian a la ciberseguridad.

No obstante una forma de mejorar el comportamiento de ciberseguridad de los usuarios finales es a través de programas de formación exhaustivos. Centrarse en el comportamiento del usuario final resulta imperioso, en parte por el hecho de que muchas de las amenazas a la ciberseguridad a las que nos enfrentamos hoy día, aún no pueden resolverse por completo mediante soluciones tecnológicas. Aunque medidas de protección como los cortafuegos, los programas antivirus y los filtros antispam pueden reducir la aparición de algunas amenazas, otras siguen surgiendo con frecuencia y provocan consecuencias desastrosas como las señaladas anteriormente.

Del mismo modo, aunque se apliquen medidas tecnológicas, no siempre resultan prácticas si se tienen en cuenta las tareas que deben realizar los empleados y otros tipos de usuarios finales. Aunque los empleados suelen ser conscientes de las amenazas de seguridad a las que pueden enfrentarse, también tienen que realizar sus tareas laborales en el momento oportuno. Para cumplir en la medida de lo posible tanto los requisitos de su puesto de trabajo como las políticas de seguridad, se recurre a comportamientos de seguridad en la sombra.

La seguridad en la sombra se produce cuando los empleados no son capaces de cumplir las políticas y mecanismos de seguridad establecidos por su organización y, por lo tanto, encuentran y adoptan herramientas o soluciones alternativas que no están aprobadas por su organización. Esto sugiere que cuando las directrices y restricciones impuestas no resultan atractivas para los usuarios finales, estos encontrarán la manera de eludirlas. Esto también pone de relieve que el comportamiento del usuario final es fundamental para prevenir los ciberataques asociados a acciones humanas. Una forma importante de hacerlo es mediante la formación de estos usuarios en relación con las amenazas a las que se enfrentan las organizaciones e instituciones.

La ciberseguridad organizativa abarca una serie de temas en los que el comportamiento del usuario final es clave para proteger datos, sistemas y ubicaciones. Según la literatura especializada se identificaron cuatro conjuntos de comportamientos que se dan en entornos organizativos en relación con la ciberseguridad: el cumplimiento de las políticas de seguridad, los comportamientos relacionados con el phishing y el correo electrónico, los comportamientos relacionados con las contraseñas y la coordinación y comunicación entre grupos.

El primer conjunto abarca los comportamientos relacionados con el cumplimiento de las políticas de seguridad. Esta amplia categoría puede contener una multitud de comportamientos diferentes que varían entre las distintas organizaciones. Los temas relacionados con este conjunto pueden incluir comportamientos de bloqueo de pantalla, restricciones impuestas al uso compartido de archivos, transferencia de credenciales de inicio de sesión y directrices relacionadas con el uso en el trabajo de dispositivos personales. El segundo grupo se refiere a la suplantación de identidad y el correo electrónico. Los ataques de phishing suelen emplear mecanismos de ingeniería social. Su objetivo es manipular a las personas para que faciliten al atacante datos sensibles como datos bancarios, contraseñas o historiales médicos.

El tercer conjunto describe el comportamiento de las contraseñas. Las contraseñas se utilizan con frecuencia para acceder a diversos tipos de información o datos dentro de las organizaciones y pueden causar graves daños si se gestionan mal. Los problemas relacionados con la seguridad de las contraseñas suelen estar asociados a la forma en que los usuarios las generan (por ejemplo, utilizando contraseñas cortas y fáciles de adivinar o repitiendo la misma contraseña entre plataformas). La coordinación y la comunicación entre grupos constituyen el último conjunto identificado en el estudio. Los temas de este conjunto se refieren principalmente a la cultura organizativa.

Cuando se intenta mejorar el comportamiento en materia de ciberseguridad del usuario final, a menudo se hace hincapié en las campañas de sensibilización para comunicar cuestiones relativas a la ciberseguridad. Recordar que el pasado mes de octubre celebramos el 21 aniversario del Mes Internacional de Concienciación sobre Ciberseguridad 2024 bajo el lema "Protejamos nuestro mundo" y que en la última semana noviembre se celebró en nuestra Isla, coincidiendo con el Día Internacional de la Seguridad Informática.  La información se facilitó exclusivamente a través de "papelería de campaña", como carteles o marcapáginas y sitios web que a veces incluyen materiales audiovisuales muy educativos. La distribución de información a través de métodos basados en texto es popular en estas campañas, ya que suele ser más fácil, rápida y menos costosa que otros métodos. Sin embargo, las investigaciones han demostrado que las campañas de concienciación no siempre son muy eficaces.

Existen muchas afirmaciones y conclusiones contradictorias con respecto a la forma óptima de llevar a cabo una formación en ciberseguridad basada en el comportamiento. El análisis de la literatura científica muestra que la mayoría de los estudios existentes informan de los efectos positivos de la formación, independientemente del tema de ciberseguridad abordado o del método de formación empleado. Los métodos de formación basados en juegos han sido de los más utilizados actualmente.

Aunque muchos autores afirman con razón que la concienciación sobre las amenazas a la ciberseguridad es importante, otros investigadores sostienen que es solo uno de los muchos precursores que conducen a un cambio de comportamiento real. El mero hecho de proporcionar información tiene un efecto limitado en el cambio de comportamiento de los usuarios. Del mismo modo, los programas de formación que incluyen información son simplemente demasiado limitados y deben incluir más directrices sobre cómo responder a las amenazas. La traslación de los programas de formación en ciberseguridad al lugar de trabajo es una empresa difícil en sí misma. Los empleados a menudo carecen de entusiasmo y tienen dificultades para prestar atención a los materiales proporcionados. Cuando se utilizan métodos de eficacia limitada, a menudo se desperdician esfuerzos y recursos. No obstante este autor comparte la filosofías que donde mejor se aprende es en los entornos reales.

Existen multitud de otros métodos de formación, incluida la aplicación de nuevas tecnologías como la realidad virtual; o técnicas establecidas como los juegos (gamificación) y el nudging, este último que consiste en "empujar" a la población para que tome decisiones que luego la beneficien a largo plazo. Debido al hecho de que algunos de estos métodos de formación son de nueva aplicación en el ámbito de la ciberseguridad, su aplicación se comprueba a menudo con respecto a la facilidad de uso y la claridad del programa de formación para el usuario final, en lugar de su eficacia en el cambio de comportamiento.

Dicho esto, hoy se necesita que las personas se formen en esta área del conocimiento debido a:

Protección de Datos Personales

1. Privacidad: La formación en ciberseguridad ayuda a los individuos a proteger su información personal y a ser conscientes de las amenazas a su privacidad. Esto es crucial en una era donde los datos personales son un recurso valioso.
2. Prevención de Fraudes: Con el conocimiento adecuado, las personas pueden identificar y evitar intentos de fraude, como el phishing y el robo de identidad, protegiendo así sus finanzas y su reputación.

 Seguridad en las Empresas

1. Reducción de Riesgos: Las empresas que invierten en la formación de sus empleados en ciberseguridad reducen significativamente el riesgo de sufrir ciberataques. Los empleados capacitados son capaces de reconocer y responder a amenazas potenciales de manera más efectiva.
2. Cumplimiento Normativo: Muchas industrias están sujetas a regulaciones estrictas en materia de protección de datos. La formación en ciberseguridad asegura que las empresas cumplan con estas normativas, evitando sanciones y protegiendo su reputación.

 Impacto Económico

1. Ahorro de Costos: Prevenir ciberataques mediante la formación es mucho más económico que lidiar con las consecuencias de una violación de datos. Las empresas pueden ahorrar millones en costos de recuperación y multas.
2. Confianza del Consumidor: Las organizaciones que demuestran un compromiso con la ciberseguridad ganan la confianza de sus clientes, lo que puede traducirse en una ventaja competitiva en el mercado.

 Educación y Conciencia Pública

1. Cultura de Seguridad: La formación en ciberseguridad fomenta una cultura de seguridad en la sociedad, donde las personas son más conscientes de las amenazas y saben cómo protegerse.
2. Responsabilidad Digital: Educar a la población sobre ciberseguridad promueve un uso más responsable y seguro de la tecnología, reduciendo el riesgo de cibercrímenes y mejorando la calidad de vida digital.

 Innovación y Desarrollo

1. Desarrollo de Talento: La demanda de profesionales en ciberseguridad está en constante crecimiento. La formación adecuada prepara a la próxima generación de expertos que protegerán nuestras infraestructuras digitales.
2. Fomento de la Innovación: Con una base sólida en ciberseguridad, las empresas pueden innovar con mayor confianza, sabiendo que sus desarrollos estarán protegidos contra amenazas cibernéticas.

La formación en ciberseguridad en Cuba ha cobrado una importancia estratégica en los últimos años, especialmente con el avance de la transformación digital en el país. En el área académica cabe destacar que hoy día se cuenta con:

• Programa de Formación de Ciclo Corto Administración de Redes y Seguridad Informática: Iniciado en la Universidad de las Ciencias Informáticas (UCI) en el 2016, forma técnicos de nivel superior cuyo objeto de la profesión es la administración de aplicaciones e infraestructuras de redes informáticas que garantizan la Ciberseguridad y la Ciberdefensa del país.
• Especialidad de Posgrado en Seguridad Informática: Se imparte en la UCI desde el 2018 como una de las oportunidades de superación para los graduados de la informática y otras carreras afines. Se alcanza a través del desarrollo en los profesionales de competencias específicas para la organización, dirección y gestión del proceso de Seguridad Informática con un elevado grado de autonomía, creatividad y eficacia y que propicien la protección integral de los sistemas informáticos y las redes de datos.
• Otras carreras afines, cursos de postgrado, entrenamientos, programas de maestría y doctorado de varias universidades que incluyen líneas de investigación, desarrollo e innovación relacionadas con la ciberseguridad.
• Carrera de Ingeniería en Ciberseguridad: Al contar con un amplio perfil, la UCI en este caso forma a profesionales integrales con la misión de gestionar la ciberseguridad de las organizaciones a partir del establecimiento, implementación, operación, monitorización, revisión y mantenimiento de los sistemas. Además, los egresados tendrán la misión de mejorar de manera continua las medidas para la preservación de la confidencialidad y disponibilidad de la información. Este 19 de diciembre se hace realidad un gran sueño que empezó en el 2021, tendremos los primeros graduados.

En el ámbito empresarial destacan las acciones de capacitación, investigación, consultoría y acompañamiento que realizan en este sentido empresas como Segurmática, la Empresa de Telecomunicaciones de Cuba (ETECSA), Empresa de Tecnologías de la Información de BioCubaFarma (ETI), la Unión de Informáticos de Cuba, los Joven Club de Computación, entre muchas otras. A esto se le suman las numerosas actividades desarrolladas como parte de las campañas de concientización, las cuales se preparan

La formación en ciberseguridad es una necesidad imperativa en la era digital. No solo protege a las organizaciones de las amenazas cibernéticas, sino que también fortalece la confianza y la resiliencia digital. Invertir en la educación y capacitación de los empleados es una estrategia esencial para cualquier organización que desee prosperar en el mundo digital actual. Por hoy nos despedimos hasta la próxima semana.