Nadie puede negar que en la última década hemos sido testigos de importantes avances tecnológicos, y no sólo en materia de desarrollo de herramientas, software, hardware, u otros, sino también en seguridad de la información; junto con evolucionar respecto a las tecnologías utilizadas, pasando de la época del mainframe a la de la virtualización.
Las empresas han implementado sistemas de seguridad cada vez más sofisticados, y han entendido también que el sufrir un atentado no sólo trae los costos económicos obvios -necesidad de nuevos sistemas, la pérdida de datos o el robo de recursos-, sino que redunda en daños respecto a la reputación y a la marca de la compañía.
Una encuesta realizada por Ernst & Young global reveló que el 85% de las compañías considera que la mayor consecuencia de los atentados a la seguridad a la información es el daño a la reputación y a la marca, mientras que también se menciona la pérdida de confianza de los inversionistas y clientes.
Pese a reconocer el efecto de los fraudes en materias de seguridad, las compañías parecen haber descuidado un eslabón clave dentro de ésta: las personas.
Es tan común que las empresas pongan tanto énfasis en la tecnología, que el componente de los recursos humanos en la seguridad de la información es pasado por alto.
RRHH: Tan crítico como cualquier otro eslabón
Los resultados de la encuesta global de seguridad de la información de Ernst & Young, muestran que este tema aún no es abordado por las compañías. La conciencia organizacional fue citada por un 50% de los consultados, como el desafío más significativo en la implementación de estrategias exitosas de seguridad de los datos. De esta forma, se ubicó por sobre la disponibilidad de recursos (48%), el presupuesto adecuado (33%) y el enfrentamiento de nuevas amenazas y vulnerabilidades (33%).
Precisamente, esta debilidad en los recursos humanos de las empresas ha sido explotada por los hackers durante muchos años, quienes comprendieron que la manera más fácil de engañar a un sistema de seguridad de informática es utilizando a las personas.
Técnicas simples, como personificar al personal del área de tecnología de las compañías, pueden ser utilizadas para obtener acceso a información de los empleados o de las empresas.
¿Cómo prevenir esto? ¿Cómo reforzar la seguridad de los datos desde el punto de vista de las personas? Las respuestas son un tanto complejas: debe haber un enfoque en programas de capacitación y toma de conciencia para que ésta opere efectivamente.
Se trata, en definitiva, de que las compañías consideren que sus trabajadores son tan críticos como cualquier otro eslabón en la cadena que protege la seguridad de la información.
