La tecnología de protección ha avanzado y se han desarrollado políticas de buenas prácticas para minimizar los incidentes de seguridad. Pero las empresas siguen teniendo el ‘enemigo’ en casa, el eslabón de la cadena que por desconocimiento, testadurez o intencionadamente no cumple con las normas que dicta el sentido común y abre la puerta a posibles infecciones y ataques que pueden causar estragos en la información corporativa. Por suerte las empresas españolas empiezan a ser conscientes de este hecho y están poniendo en marcha planes de concienciación para sensibilizar a sus empleados de la necesidad de adoptar una política de seguridad.
Para medir el avance que están realizando las empresas españolas en este camino, Autelsi ha realizado el estudio ‘Concienciación en Seguridad de la Información’, que ha dado como corolario un decálogo que se resume en dos principios básicos: innovar en los mensajes para conseguir la involucración de todos los integrantes de la empresa y el patrocinio de la alta dirección.
Desde Autelsi se insiste en estos aspectos: “la seguridad de la información ha de ser entendida como un todo, pero hay un componente que se repite y no depende de definiciones ni metodologías: las personas de la organización”. Y la concienciación pasa por “conseguir un nivel adecuado de conocimiento por parte de cada empleado de la organización de las normas aplicables en la misma que ayuden a conseguir el nivel de seguridad de la información que su empresa necesita”. El estudio refleja que el 97% de las empresas cree necesario realizar acciones de concienciación, si bien solo el 34% de las mismas tiene un proyecto en marcha. Un 46% de las organizaciones consultadas asegura que va a poner un plan en prueba. En cuanto a la distribución de estándares de buenas prácticas, es atinado pensar que el 30% del Esquema Nacional de Seguridad (ENS) correspondería básicamente al sector público, mientras ISO 27001 tiene mayor difusión en el ámbito privado.
¿Pero qué motiva a las empresas a desarrollar este tipo de planes? Autelsi destaca cuatro aspectos condicionantes: los usuarios cuentan con nuevos dispositivos; la evolución de las incidencias de seguridad; los cambios en el entorno de interconexión y las modificaciones en la regulación. La continuidad de negocio ocupa la quinta posición, porque representa una toma de conciencia de los encuestados en torno a la estrecha conexión de la concienciación con la reputación corporativa. Los departamentos más implicados en estas campañas de concienciación son, por este orden, Seguridad, IT y Recursos Humanos, frente a una escaso protagonismo de la dirección y del departamento de legal. Como opinión generalizada, la intranet corporativa es una herramienta muy útil en el programa de concienciación. Su rol como elemento oficial para la comunicación entre la organización y el personal que se desempeña en ella hace que, de forma intuitiva, las personas busquen espontáneamente en ella información y recursos de todo tipo. Así, ofrece la posibilidad de ofrecer contenidos y elementos previstos en el programa de concienciación. No obstante, todos reconocen que se trata de campañas complejas, con muchos desafíos personales y que tocar la fibra emocional es la clave para conseguir que se vaya progresando en esta ardua tarea.