Según el informe “State of Cybersecurity Trends de 2022”, elaborado por Arctic Wolf Networks, nueve de cada diez ciberataques tienen como objetivo a los empleados de una organización. En este contexto, la concienciación sobre la seguridad de la información fue el tema principal del RNPSeg 23, que se celebró en Brasilia el 30 de agosto. 

Dirigido exclusivamente a directivos y especialistas en ciberseguridad y retransmitido en línea, RNPSeg está organizado por CAIS, el departamento de inteligencia en ciberseguridad de RNP. Destacando la necesidad de abordar la ciberseguridad de forma educativa para los empleados de las organizaciones, RNPSeg 23 tuvo como tema "Factor humano: concienciar para combatir las ciber amenazas”. 

Entre los ponentes se encontraban Alex Amorim, fundador y presidente de IBRASPD y CISO de Claro, Anchises Moraes, líder de Threat Intelligence de Apura, Jeferson D’Addario, fundador y CEO del Grupo Daryus, Marcelo Lau, director de Data Security y coordinador de FIAP, y Renato Opice Blum, abogado y economista y profesor. Los invitados aportaron valiosas perspectivas sobre la importancia de la concienciación en las instituciones públicas y privadas. 

Alex Amorim inició el acto destacando la evolución de las tecnologías para afirmar que la concienciación se ha vuelto crucial en un mundo cada vez más conectado. "Cuando pensamos en seguridad, muchas empresas acaban haciéndolo para “pasar de curso”. Algunos profesionales de seguridad aún no tienen como objetivo influir en la vida de las personas. Sin embargo, tenemos que empezar a situar a la persona en el centro de todo. Pasar de limitarse a cumplir una política corporativa a mostrar la importancia de crear prácticas más seguras en el entorno digital ", subraya.

Las estafas de Phishing e ingeniería social siguen teniendo un impacto negativo en la vida de las personas, tanto dentro como fuera del lugar de trabajo. Estas estafas se disfrazan de comunicaciones legítimas, explotando la confianza y el desconocimiento de las víctimas, o utilizan la urgencia o el sensacionalismo para hacer más atractivos sus mensajes. Para prevenir estos ataques, la cibereducación es la solución. 

Marcelo Lau planteó el impacto del conocimiento en el cambio de comportamiento de los usuarios de Internet. "Como académico, suelo decir que el conocimiento transforma. No tiene sentido tomar una serie de medidas en el entorno corporativo, en las tecnologías, si el resultado es el mismo una y otra vez. Tenemos que cambiar nuestras técnicas y nuestra visión, pensando en el comportamiento de los usuarios frente a las amenazas y las estafas en línea", afirmó. 

Durante el acto, Jeferson D’Addario añadió que la concienciación en materia de seguridad debe repercutir en los empleados más allá de su vida laboral y llegar a sus familias. “El perímetro de seguridad de una empresa, la gestión de la seguridad, es tan importante como la gestión financiera y la gestión de RR.HH. Nuestra misión debe ser que nuestro mensaje llegue hasta la punta de los dedos del hijo del empleado. Tenemos que llevar la educación al hijo de esa persona. Se habla mucho de inclusión digital, pero ¿hablamos de seguridad? Todas las estadísticas reflejan esta falta de preparación”, afirmó. 

Anchises Moraes añadió que la falta de inversión en Seguridad de la Información en muchas empresas hace más compleja y difícil la viabilidad de los planes de concienciación. "La gran mayoría de las organizaciones apenas tienen un equipo de seguridad. Raramente, tienen una persona que se preocupe por la concienciación ", explicó.

En cuanto a la cuestión legal, uno de los comentarios de Renato Opice Blum, especialista en ciber derecho, se refirió al uso de sanciones para que la Seguridad de la Información se tome como un asunto más serio y alarmante. 

“Al menos el 95% de las estafas en línea podrían haberse evitado si las victimas hubieran tomado alguna medida diferente. Es un porcentaje muy alto. Todo el mundo está de acuerdo en que hay que educar, en que la concienciación implica a todos, pero lo cierto es que la situación no mejora. Traigo a colación la analogía del cinturón de seguridad. Mucha gente no se los puso durante un tiempo porque resultaban incómodos, aun sabiendo lo importante que eran. Sin embargo, cuando hubo una sanción, una multa, la aplicación legal condujo a una práctica más segura”, comparó. 

El evento RNPSeg 23 dejó claro que la concienciación no es solo una medida preventiva, sino también una estrategia inteligente para proteger los activos y la reputación de las empresas. En este escenario de crecientes ciber amenazas, el mensaje es: los empleados no son el eslabón más débil de la seguridad de la información, son la primera línea de defensa, y la concienciación es la clave para reforzar esa línea.

Vea el evento completo