El mayor problema no existe únicamente por el ataque en cuestión. Encontramos un factor humano igual o más peligroso que pasa por la apatía de los empleados.
Es muy común escuchar que los incidentes de seguridad son una de las amenazas más a tener en cuenta por cada organización dentro del ámbito de la seguridad digital.
Esto es absolutamente cierto, pero no es cuestión de tener en cuenta puntualmente el ataque en sí. El tratamiento con el que se busca mitigar, contener, aceptar o eliminar la amenaza o vulnerabilidad conlleva una responsabilidad absolutamente crucial por parte de cada uno de los miembros de la compañía implicados.
Según un reporte, menos del 50% de las víctimas reportan los incidentes de ciberseguridad. Esto significa la existencia de muchos ataques que no han sido informados, generado quizá por una escasez de información de cara a plantear soluciones tanto organizacionales como individuales.
La pregunta entonces radica en por qué se decide no reportar un incidente. La respuesta parecería estar en lo que se el mismo estudio llama el «Efecto Espectador«, un fenómeno psicológico que paraliza a las personas ante situaciones de emergencia.
Por ejemplo, supongamos que un empleado recibe un correo electrónico que parecería ser sospechoso. Si ninguna persona busca reportar el incidente, entonces se podría imaginar que no es tan grave. Ese es el pensamiento principal para no reportarlo.
Otro motivo podría llegar a ser la falta de control ante este tipo de situaciones. Muchos empleados podrían no saber afrontar estos inconvenientes o peor aún, no saber cómo reportarlo debidamente. Para informarlo, muchos países, como Argentina, brindan servicios web estatales donde uno puede elegir por categorías qué tipo de ataque corresponde. De esta forma, organismos brindan soluciones y/o alertar a usuarios de otras compañías sobre los nuevos peligros que pueden estar emergiendo.
También, muchos empleados tienen el miedo de ser evaluados de forma negativa, pensando que pueden cometer errores o que los puedan confundir con un posible ataque ‘insider’, donde un miembro interno de la misma organización es quien perpetra el ataque.
Reportar un incidente tiene muchísimo valor. Ayuda a la organización a evitar mayores pérdidas financieras y frenar un daño a la reputación. Ninguna empresa quiere ser vista como negligente ante la negativa de informar incidentes de seguridad.
Las medidas para solucionarlo pasan por el lado más humano y sencillo. Educar.
Las organizaciones tienen la obligación de brindar información clara y capacitaciones sobre los posibles efectos de no reportar un incidente y cómo aportar para mitigar el ataque, evitando el efecto espectador. Cuanto más simple sea, mejor para los empleados, ya que no todos están especializados en sectores IT y entienden los conceptos que pueden ser técnicos o no.
Otra técnica es ejecutar simulaciones sobre ataques realistas y cómo informarlos posteriormente. De esta forma, se está más preparado cuando un incidente ocurra en la realidad, pues ninguna compañía está exenta de ser víctima de un ciberataque.
Promoviendo la cultura de la responsabilidad y premiando a quienes reportan se puede llegar al objetivo de cuidar la reputación de la empresa y alertar a las personas sobre las potenciales amenazas en el ámbito informático.