Era un día como cualquier otro en la oficina. Todo transcurría con
normalidad hasta que todo se detuvo. Los sistemas se congelaron, los accesos a
archivos fueron restringidos y los correos fueron eliminados. Solo había un
mensaje en las pantallas: Sus archivos han sido encriptados. Un solo clic, un
archivo abierto por error, bastó para paralizar a la empresa.
Desafortunadamente, historias como esta no son desconocidas en
México. De acuerdo con el informe de FortiGuard Labs, hubo 94 mil millones de intentos
de ciberataques en México en el 2023. Para el 2024, esta cifra aumentó a 324
mil millones de intentos (Fortinet), tres veces más en tan solo un año. Este
incremento se debe al uso de la inteligencia artificia por parte de los ciber
atacantes, haciendo los ataques de phishing aún más sofisticados. Ante esto,
cualquier gasto en tecnología de ciberseguridad será insuficiente si no se
invierte en el que históricamente ha sido el eslabón más débil, el factor
humano.
Ante esta situación, Recursos Humanos se convierte en el aliado
estratégico de las áreas de Sistemas y Seguridad de Información, orquestando la
primera línea de defensa de la empresa: la Cultura. Para construir una cultura solida
de ciberseguridad, es fundamental diseñar una estrategia que incluya acciones
de concientización, entrenamiento y alineación de todos los colaboradores.
Para contrarrestar los constantes ataques cibernéticos, los
esfuerzos para construir una cultura de ciberseguridad deben ser igual de
constantes, iniciando por comunicación interna que debe de ir más allá de
boletines o infografías tradicionales. Recursos Humanos debe encabezar la tarea
de manejo del cambio y asegurar que los líderes de la organización incluyan a
la ciberseguridad en sus indicadores de desempeño. Por ejemplo, un indicador
clave de la organización puede ser el de días sin incidentes de ciberseguridad.
Priorizar
el entrenamiento con creatividad, realizando ejercicios de phishing ético con
temas que emocionalmente atraigan a los colaboradores, por ejemplo, avisos de nuevos
beneficios o venta preferente de autos generan sentido de urgencia y ponen a
prueba a cualquier colaborador. Si además este entrenamiento traspasa las
paredes de la empresa e incluye el entorno personal, el impacto será mayor. Incluir
a las familias en este entrenamiento, generando retos y compartiendo información
sobre configuración de wifi segura en el hogar o seguridad en redes sociales harán
que la cultura se forme desde casa.
Por
último, Recursos Humanos debe de ser proactivo en la detección de perfiles de riesgo
en sus colaboradores. Es decir, quienes son más propensos a caer en un intento
de ciberataque. En el proceso de atracción de talento, entrenar al equipo para
detectar estos perfiles antes que ingresen a la empresa. Internamente, medir la
participación de los colaboradores en las iniciativas de concientización y el
resultado de los ejercicios de entrenamiento e implementar un esquema de
reconocimientos y de disciplina progresiva con reglas y consecuencias claras. Reforzar
el compromiso y alinear comportamientos frente al riesgo no es un esfuerzo
temporal, sino una práctica constante para consolidar una cultura donde la ciberseguridad
es parte natural de la forma de trabajar.
El colaborador puede ser el eslabón más débil o el primer escudo de defensa, según el nivel de compromiso que la organización logre inspirar. Solo cuando la ciberseguridad deje de ser un programa y se convierta en parte de la cultura, recursos humanos habrá logrado convertir a los colaboradores en la primera línea de defensa sostenible en el tiempo.
Mauricio
Díaz: El autor es
director de Recursos Humanos para áreas de operación y tecnología en Axtel,
empresa líder en telecomunicaciones y tecnologías de la información en México.
Cuenta con más de 18 de experiencia en la función de Recursos Humanos y
actualmente es asociado e integrante del Comité de Negocio y Tecnología de
ERIAC Capital Humano. contacto@eriac.com.mx
