Read the rest of the post ' Cómo transportar y manipular Obras de Arte '
Octubre, queridos lectores, es un mes clave para los que trabajamos en el campo de la ciberseguridad. Desde hace años, es el mes oficial por excelencia de la ciberseguridad, lo que significa que la mayor parte de empresas enfocan en este mes gran parte de los esfuerzos de concienciación de ciberseguridad del año: talleres, charlas, publicaciones, etc. Y, aún a riesgo de ser la opinión impopular, quiero aprovechar el artículo de este mes para reflexionar si, tal y cómo está planteado, este mes mantiene alguna utilidad o si más nos valdría ahorrarnos los esfuerzos este mes y replantearlos el resto del año.
El primer argumento que se me plantea para cuestionar este mes está relacionado con el propósito de concienciar. Si nos paramos a reflexionar, concienciar debería ser “adquirir conciencia de algo”. Para que esto sea posible, ese “algo” debe ser desconocido previamente para nosotros. Es decir, una acción de concienciación debería trasladar conocimiento nuevo y relevante para quien la recibe. Ahora pensemos en las charlas que, año tras año, simplemente nos recuerdan que tengamos cuidado con ataques como el phishing, nos traen algunos ejemplos nuevos de ataques y nos recuerdan las mismas pautas seguras de todos los años que deberíamos seguir. ¿A vosotros esto también os suena, queridos lectores?
Claramente, muchas de las acciones de este mes no buscan concienciar como lo he explicado en el párrafo anterior, si no que pretenden seguir fomentando los hábitos positivos, es decir, quieren reforzar una serie de conductas que se consideran buenas. Este objetivo, aunque es legítimo y útil, no está exento de problemas. Así, durante años, los expertos en seguridad pensamos que era buena idea trasladar ciertos consejos simples y efectivos como “al navegar a una determinada página web, busquemos el símbolo del candado verde para asegurar que no vamos a páginas cuya comunicación se pueda interferir”. Esta conducta positiva se vuelve en nuestra contra cuando, con las amenazas más recientes, las webs maliciosas ya cuentan con ese candado verde y, la conducta que hasta ahora nos protegía, hace que ahora caigamos, confiados, en casos de fraude. Y, ¿qué nos tocaría hacer ahora? Pues corregir esto con acciones de concienciación en su sentido más puro, para comunicar estas nuevas tendencias y que las personas entiendan los riesgos de verdad y las últimas y más eficaces formas de evitarlos o controlarlos.
Por último, a las dos cuestiones anteriores tenemos que sumar que haber estandarizado el mes de la ciberseguridad hasta los niveles actuales ha creado un cierto “efecto hábito”, esto es, tal rutina al respecto en muchos empleados con las acciones de este mes, que acuden a las mismas sin esperar aprender nada nuevo, solamente refrescar ciertos hábitos y comportamientos, llevarse merchandising por el mero hecho de acudir y, quizás, tener que hacer algún curso de refresco con un test que superar al final o verse unos vídeos en la materia. Con esta percepción, incluso las acciones de concienciación mejor planteadas pueden caer en saco roto, pues ya sabemos la verdad escondida en dichos populares como el de “no hay peor sordo que el que no quiere oir”.
No quiero extender demasiado la reflexión de hoy más allá de invitaros a todos a que, si tenéis que asistir a este tipo de actividades este mes, intentéis centraros especialmente en aprender sobre esos detalles nuevos que antes desconocíais, pues serán los puntos que de verdad capten vuestra atención y permeen en vuestra consciencia. Y, si tengo la suerte de tener entre mis lectores a algún encargado de eventos de este tipo, le invito también a reflexionar sobre estos puntos, para que, aunque lleve más esfuerzo, las acciones tengan también mayor tasa de éxito de lo que últimamente se viene observando. ¡
Me despido de vosotros hasta el mes que viene, esperando que esta reflexión os haya podido ser de ayuda!