El capital humano, una gran brecha de seguridad digital en las empresas

Esta perspectiva, cada vez más difundida en el sentir general especializado, se basa en la constatación de que la inversión en el aspecto tecnológico de la seguridad, si bien es un factor fundamental, por sí sola no soluciona la grave incidencia de la ciberdelincuencia en los sistemas de información de los diferentes sectores productivos. Por este motivo, desde organizaciones como la European Union Agency for Cybersecurity (ENISA) se pone el foco en el capital humano como dimensión imprescindible a incorporar en materia de ciberseguridad.

La urgencia y relevancia de semejante perspectiva la avalan iniciativas como la conferencia Cybersecurity Skills Conference celebrada durante los días 21 y 22 de septiembre en Segovia dedicada por entero a tan importante aspecto. Entre los puntos tratados, destaca la convicción de que un capital humano convenientemente preparado es indispensable a la hora de detectar, detener y defender de ciberataques a las estructuras que componen las bases sociales y productivas de todos los países que forman parte del proyecto comunitario.

La ciberseguridad como profesión

Este punto ha de entenderse desde los alarmantes datos que nos ofrecen las estadísticas. Solamente en la Unión Europea, en el año 2022 se estimó que no se estaban cubriendo entre 260.000 y 500.000 puestos de trabajo relacionados con la ciberseguridad. Según el INCIBE, en nuestro país el número de profesionales necesarios en ciberseguridad se elevaba a 63.191 empleos, mientras que en 2024 superará los 83.000, al tiempo que se establecía en casi un millón el número de profesionales necesarios en dicho campo.

Entre semejantes cifras, también destaca la preocupante realidad de que solo un 20% de las personas formadas en ciberseguridad son mujeres, manifestando un evidente desequilibrio genérico en tal área. La gravedad de la situación se acentúa si consideramos no solo los empleos que requieren una formación técnica y una experiencia específica en ciberseguridad. La escasez actual de profesionales que dificulta que puedan ser convenientemente cubiertos puede ser una causa, pero no la única explicación, del riesgo que corren las empresas a la hora de ser víctimas de un ciberataque.

Concienciación y capacitación del capital humano

En lo que respecta al capital humano como brecha de seguridad digital en las empresas, es también indispensable atender a la formidable evidencia de que el origen de gran parte de los ciberataques se encuentra en la falta de concienciación y capacitación del personal no directamente formado y especializado en materia de ciberseguridad.

Todo el personal que utiliza las tecnologías de la información para el desempeño de sus funciones, y que no ejercen sus funciones directamente en un departamento IT, es asimismo un vector fundamental que las empresas han de introducir en su estrategia de ciberseguridad. 

Las conclusiones arrojadas por los informes en este sentido dan prueba del valor indispensable que supone incluir programas de concienciación y capacitación que abarquen a la totalidad de la plantilla que forma parte de una organización. Los estudios demuestran que, como media, más del 30% de las personas trabajadoras no superan las pruebas de seguridad a las que son sometidas.

Además, se atestigua un sensible aumento en la capacidad de la ciberdelincuencia (de 40 millones en 2022 como media mensual a casi 200 millones a principios de 2023) para llevar a cabo ataques de fuerza bruta dirigidos contra la debilidad de las contraseñas utilizadas por el personal de una empresa, o una mayor accesibilidad a herramientas de phishing (EvilProxy o NakedPages están detrás de más de un millón de mensaje fraudulentos al mes). 

Esto conlleva un incremento sustancial en la probabilidad de ser víctima de un incidente de seguridad. Es por tal motivo que no ha de descuidarse la conveniente preparación de todo su personal en cuestiones relacionadas con la ciberseguridad, máxime cuando se constata que el 74% de los ataques están relacionados con el factor humano.Como vemos, no es necesario una extremada sofisticación para perpetrar acciones maliciosas a través de la tecnología, por lo que, además de los recursos técnicos de protección imprescindibles, se ha de considerar el capital humano como un elemento base en materia de ciberseguridad.

CISO as a Service

Sabiendo que la mayor parte de los ataques se aprovechan del error, el desconocimiento, y la falta de preparación en cuestiones de ciberseguridad por parte de la mayoría de la plantilla de una organización, en JakinCode hemos diseñado herramientas de concienciación y capacitación que permiten formar adecuadamente para la detección phishing, ingeniería social, smishing, o vishing.

Junto con esto, contamos también con un servicio de CISO as a Service que permite a las empresas que lo deseen incorporar capital humano externalizado y especializado ad hoc en cuestión de ciberseguridad. De este modo, los servicios que aportamos dan respuesta a la brecha de seguridad que, como hemos visto, es motivo de preocupación generalizada.