Dies ist eine alte Version des Dokuments!
La importancia de la concienciación en la seguridad informática
Introducción
Frases como „fue culpa del estúpido usuario“ o „los usuarios finales son demasiado estúpidos“ son muy comunes cuando se trata de seguridad informática. Sin embargo, esta idea es fundamentalmente errónea. Si los usuarios no se enteran de las cosas, la culpa es de la gestión de la seguridad informática.
Errores en la gestión de la seguridad informática
A menudo se presta mucha atención a las soluciones técnicas de seguridad. Se incurre en elevados costes para integrar en la empresa programas informáticos técnicamente complejos. Entonces uno se siente seguro, pero se despierta una mañana y descubre que, a pesar de toda la tecnología, ha sido vulnerado.
¿Qué ha ocurrido?
A pesar de todas las medidas técnicas, la red se vio comprometida. Esto se desencadenó al hacer doble clic en un archivo ISO que se envió como archivo adjunto en un correo electrónico. Windows lo integró y el malware pudo propagarse.
Antiguos métodos de ataque
La propagación de correos electrónicos que contienen programas maliciosos no es nada nuevo. De vez en cuando llegan a las empresas correos electrónicos más o menos bien falsificados.
Nuevos métodos de ataque
En este ejemplo concreto, se incluyó un archivo ISO. Esto es sólo simbólico por el momento. El verdadero peligro radica en que constantemente se encuentran formas eficaces de propagar programas maliciosos. Estos peligros no pueden preverse.
El cortafuegos humano
Hasta ahora no se ha tenido en cuenta que un concepto de seguridad debe tener siempre varios niveles para ser eficaz:
| Tecnología | Proceso | Personas |
|---|---|---|
| EDR, SOC | Directrices, sistemas de gestión | Concienciación |
En nuestro caso, no se hizo hincapié en la concienciación o sensibilización, ya que los usuarios son „estúpidos“. Se trata de un error fatal. „Estúpido“ e ignorante son cosas fundamentalmente distintas.
Si la gestión de la seguridad informática no proporciona formación para compensar esta ignorancia, la culpa es de la gestión de la seguridad informática. Unos empleados bien formados son una protección eficaz para la empresa.
Con una formación de sensibilización específica, construimos un „cortafuegos humano“ y, por tanto, una capa adicional de seguridad, que es extremadamente importante.
Sin embargo, la concienciación también debe basarse en la situación. En caso de nuevas amenazas, por ejemplo, debe haber una comunicación y formación rápidas para poder reaccionar rápidamente ante los peligros.