Cinco lecciones para mejorar la seguridad cibernética empresarial
Un informe reciente, titulado "The Annual Cybersecurity Attitudes and Behaviors Report 2024-2025" y publicado por la National Cybersecurity Alliance (NCA) en colaboración con Cybsafe, reveló el desafiante panorama que enfrentan las empresas en materia de ciberseguridad. Es que la creciente adopción de herramientas de inteligencia artificial generativa, combinada con una brecha entre conocimiento y práctica en seguridad, está exponiendo a organizaciones a riesgos innecesarios. Para la NCA, el desafío más importante es abordar no sólo los aspectos técnicos, sino también las conductas humanas en el espacio laboral, para proteger a las empresas frente a ciberamenazas que, como hemos señalado en más de una ocasión, son cada vez más sofisticadas.
El problema principal radica en un exceso de confianza de los usuarios en entornos corporativos. En otras palabras: tanto los empleados como los gerentes de las empresas suelen sobreestimar su capacidad para lidiar con distintas ciberamenazas. A pesar de que un 70% cree que es posible mantenerse seguro en línea, existe un desfasaje entre esta percepción y las prácticas reales. Esto se acentúa todavía más en los entornos laborales, donde un 38% admite haber compartido información sensible con herramientas de inteligencia artificial generativa sin la autorización de sus organizaciones. Este comportamiento no solo muestra una falta de conciencia sobre estos riesgos, sino que refleja la necesidad urgente de programas educativos que sean efectivos, a la vez que estén potenciados por políticas claras en el uso de estas tecnologías.
Una de las principales recomendaciones del informe de la NCA es el desarrollo de un enfoque de responsabilidad compartida en ciberseguridad. Este modelo hace necesaria la colaboración entre aquellos que fabrican tecnología, los gobiernos y las empresas para construir un entorno digital que sea más seguro. Las empresas pueden tener un liderazgo clave en este cambio, al establecer soluciones que sean accesibles, fomentar la adopción de buenas prácticas como la autenticación multifactorial, y reducir la frustración generada por protocolos de seguridad demasiado complicados y molestos. Para la NCA, sólo así se puede cerrar la brecha entre conocimiento y acción, motivando a los empleados a ser más responsables en la protección de los datos corporativos.
Como en todos los ámbitos, la capacitación sigue siendo un pilar esencial para la seguridad cibernética, pero su efectividad depende de dos factores: la personalización y la regularidad. Según el informe, el 83% de los participantes que accedieron a entrenamientos encontraron útiles estas herramientas, especialmente para identificar phishing (52%) y usar autenticación multifactorial (un aumento del 11%). Sin embargo, la falta de tiempo (22%) y la percepción de "ya saber lo suficiente" (23%) son barreras que las empresas tienen que superar. ¿Por dónde empezar? Para la NCA, un buen comienzo es desarrollar e incorporar formatos innovadores que estén adaptados a diferentes generaciones de empleados.
Por último, el informe concluye que para mejorar la seguridad empresarial hace falta un cambio cultural profundo. Esto implica la integración de la ciberseguridad en el ADN de cada organización, desde el diseño de políticas hasta el comportamiento diario de los empleados. La creación de entornos de trabajo donde se valore y promueva la discusión abierta sobre amenazas y soluciones también es fundamental. Solo a través de una verdadera cultura de seguridad, las empresas podrán enfrentar los desafíos actuales y futuros, protegiendo no solo su información, sino también su reputación en un mundo digital que evoluciona constantemente.
Como acabamos de ver, el informe de la NCA nos muestra, una vez más, que la ciberseguridad no es sólo un desafío técnico: también se vincula con los seres humanos. Así, la adaptación de estrategias empresariales a esta realidad se yergue como la herramienta clave para garantizar un futuro más seguro y resiliente.