Los colaboradores de una organización frecuentemente son considerados como el “eslabón más débil” en la estrategia de ciberseguridad. Tomando como premisa este hecho, CIO Ediworld, en colaboración con Nuvol Cybersecurity y KnowBe4, realizaron la mesa redonda titulada “Cómo fortalecer la última línea de defensa de su organización: crea tu propio firewall humano”.

Este evento presencial contó con la participación de Juan Carlos Vega, CEO y Fundador de Nuvol, y de Oliver García, Gerente de Cuentas de KnowBe4. Los especialistas detallaron a los asistentes que las tecnologías pasadas y diseñadas para proteger a los humanos y datos confidenciales ya no funcionan en el mundo digital de hoy. Ante este panorama, propusieron tener un nuevo enfoque que incluya la capacitación en concientización sobre ciberseguridad. 

Nuvol y KnowBe4, mancuerna para capacitar a la fuerza laboral

Durante su presentación, Juan Carlos Vega comentó que Nuvol nació en 2017 con la misión de brindar servicios de ciberseguridad, proliferando sus servicios especializados enfocados principalmente al sector corporativo y bancario.

Con la aparición de la pandemia se impulsaron los servicios en la nube, momento en el que el corporativo obtuvo aprendizaje y generó un conocimiento que sería el parteaguas para alinearse al nuevo mundo digital. Actualmente, Nuvol cuenta con servicios de ciberseguridad que posibilitan la prevención, detección y respuesta ante las amenazas que se viven en nuestro mundo digital.

Una pieza clave para el éxito de Nuvol es la integración de aliados en el rubro de servicios digitales. Destaca su alianza estratégica con KnowBe4. A este respecto, Oliver García comentó que las soluciones de la compañía capacitan y prueban a los usuarios para que detecten y comprendan los mecanismos de phishing, spear phishing, malware, ransomware y ataques de ingeniería social. Con ello, los empleados de un corporativo pueden tomar decisiones de seguridad más inteligentes.

“Somos la plataforma integrada de capacitación en concientización sobre ciberseguridad y phishing simulado más grande del mundo. Ayudamos a más de 65,000 organizaciones a gestionar el problema constante de la ingeniería social y tenemos equipos de ventas globales, desarrollo de recursos, éxito del cliente y soporte técnico en todo el mundo”, afirmó García.

Agregó que otro aspecto relevante de las plataformas de KnowBe4 es que están enfocadas para gestionar capacitación para los usuarios, poniéndolos a prueba ante ensayos personalizados y controlados de phishing y otro tipo de ataques; todo ello mostrando resultados medibles de dichas pruebas.

Esto tiene como beneficio una reducción de malware y pérdida de datos, sin mencionar que proporciona mayor productividad a los usuarios, ya que estos adquieren una mayor concientización de la importancia de la ciberseguridad. Juan Carlos Vega añadió que las soluciones de KnowBe4 están disponibles en 34 idiomas, cuentan con contenido novedoso generado por especialistas, así como disponen de un soporte técnico multilingüe.

La opinión de los especialistas 

Posterior a la presentación introductoria al tema, los asistentes a esta mesa redonda dieron paso a un foro de discusión en torno a cómo fortalecer la línea de defensa de su organización.

Al hablar de las estrategias para posicionar al usuario como “primer frente de seguridad”, Sergio Fonseca Pérez, CIO Director General de Tecnologías de Información y Comunicaciones de Nacer Global, remarcó que el usuario final siempre debe colocarse como una de las prioridades para mantener a salvo la seguridad de una empresa, por lo que es de vital importancia estar al tanto de las principales medidas y tecnologías para evitar ataques en las nubes patrimoniales.

Fernando Domínguez Reyes, IT Director para Vertiche, comentó que, pese a las múltiples herramientas para proteger la ciberseguridad de la infraestructura, el usuario sigue considerándose como el eslabón más débil. Por ello es necesario adoptar una estrategia proactiva para prevenir ataques.

En opinión de Misael  Reyes, Jefe de Seguridad y TI de Peñaranda, la participación y cultura en ciberseguridad de los empleados es crucial: Desde identificar un correo malicioso hasta tener una visión clara de la importancia de la seguridad TI. Además de este conocimiento, el especialista señaló que es importante que las organizaciones se apoyen en las actuales herramientas digitales, ahora potenciadas por la Inteligencia Artificial.

En este mismo orden de ideas, Ulises López Montoya, Consultor de Ciberseguridad de INFOTEC, añadió que es crucial fomentar la cultura de ciberseguridad en los colaboradores para que sepan identificar posibles amenazas. Este conocimiento les ayudará no sólo a estar alertas en ambientes empresariales, sino también domésticos que también podrían ser blancos de ataques.

Jorge Carrillo, CIO para Royal Holiday Servicios Administrativos, añadió que, ante la proliferación de ciberataques también potenciados por Inteligencia artificial, aumento de fraude, robo de datos y suplantación de identidad, es medular fortalecer la seguridad apoyados de las soluciones digitales más actualizadas.

Acerca de la evangelización de los usuarios en temas de seguridad de TI, Juan Carlos Ortiz de Montellano, CIO de Grupo Apollo, señaló que los corporativos deben realizar constantes campañas de concientización y capacitaciones entre sus colaboradores. Esto con el objetivo de dar a conocer todos los posibles riesgos e intentos de ataques. 

En tanto, Raúl Sánchez, CIO para Industrial Aceitera, comentó acerca de la problemática que impera cuando los usuarios se conectan a una gran cantidad de puntos WiFi, aunado a la gran cantidad de datos de la organización contenidos en sus dispositivos personales. Para abordar este desafío, dijo, su organización se les da una bienvenida a los nuevos usuarios, tanto operativos como corporativos, con una plática de ciberseguridad para aumentar la concientización. 

En otro tema se analizó cómo “vender un proyecto interno” en materia de concientización de seguridad y obtener un presupuesto. Al respecto, Claudia Galindo, Directora de Tecnologías de Información para el Instituto Tecnológico y de Estudios Superiores de Monterrey-Campus Ciudad de México, afirmó que para enfatizar la importancia de una inversión en ciberseguridad es importante que los análisis de riesgo se traduzcan en impacto económico que podría implicar no realizar dicha iniciativa. 

Por su parte, Laura Andrade, Vicepresidenta de Sistemas de Waldo’s Dolar Mart, comentó que es común que en temas de presupuesto las áreas de ciberseguridad sean las más castigadas. Sin embargo, señaló que es importante demostrar los beneficios de adquirir soluciones de capacitación de seguridad para reconsiderar las prioridades de inversión dentro de las empresas.

José Antonio Hernández, CIO del Instituto de la Función Registral del Estado de México (IFREM), agregó que una estrategia es presentar la propuesta de inversión en ciberseguridad a los inversionistas. Para ello, sugirió mostrar datos duros sobre la importancia de proteger los reactivos, dando a conocer las consecuencias de una posible pérdida de datos.

Por su parte, David Reyna, Gerente de Infraestructura IT de La Latinoamericana Seguros, opinó que la alta dirección debe estar al tanto de los intentos de ataques de otras empresas para que tomen conciencia que nadie está exento de un ciberataque. Al mismo tiempo, comentó que presentar una propuesta de inversión en seguridad debe estar sustentada desde el punto de vista de un retorno de inversión.

Acerca de medir la eficiencia de las actividades de concientización de ciberseguridad en el usuario final, José Antonio Rangel, Global Head of IT Governance, Risk, Compliance & Financial Control de TelevisaUnivision, sugirió hacer un assessment para conocer qué puntos deben ser atendidos. Con ello, dijo, se podrá realizar una medición de las mejoras, como reducción de clics hechos en las campañas anti phishing, etc. 

Ricardo Sánchez, Jefe de Implementación del Marco de Gestión de Seguridad de la Información del Instituto Politécnico Nacional, coincidió que conocer con datos medibles permitirá conocer si los objetivos ya fueron alcanzados, y estos resultados pueden ser presentados ante la alta dirección. 

En el mismo tema, Marco Antonio Gómez, CIO de ICEE de México, añadió que mensualmente realiza reportes sobre la ciberseguridad de su organización y considera importante también revisar a detalle las mejoras en las actividades de concientización y exhortó a la audiencia a utilizar la herramienta digital más adecuada.

José Luis Bravo, Director de Tecnologías de la Información y Comunicación para la Comisión de Derechos Humanos del Estado de México, comentó que para las instituciones que manejan datos de miles de usuarios es vital proteger la información, y tener campañas de concientización y evangelización es una gran ayuda para reforzar la seguridad. Por tanto, evaluar los resultados de las mismas es la culminación de estas medidas. 

Asimismo, Betoalonso Gallegos, IT Security & GRC Head de Konfio, agregó que contar con una metodología establecida para la medición de resultados ayuda a las organizaciones que deben cumplir con regulaciones de ciberseguridad. 

Gracias a la valiosa opinión y experiencia de los asistentes de esta mesa redonda, Juan Carlos Vega, CEO y Fundador de Nuvol, concluyó que capacitar a los usuarios y elegir las herramientas adecuadas es un desafío para las organizaciones. “Con la correcta capacitación lograremos que nuestros mismos colaboradores sean nuestro primer frente en ciberseguridad y se conviertan en un ‘firewalls humanos'”, concluyó.

-César Villaseñor, CIO Ediworld