Ciberataques y filtración de datos son el tercer principal riesgo para las empresas peruanas: ¿Cómo preparar a los trabajadores?

En un panorama donde los ciberataques se han convertido en una amenaza creciente, las empresas en Perú enfrentan desafíos significativos para proteger su información y operaciones. Según la Encuesta Global de Gestión de Riesgos 2023/2024, los ciberataques y las violaciones de datos ocupan el tercer lugar entre los diez principales riesgos para las organizaciones peruanas, y se posicionan como el cuarto riesgo más crítico a futuro. Además, el informe revela que el 15,4 % de las empresas en el país han sufrido pérdidas económicas debido a incidentes de seguridad digital. Frente a esta realidad, expertos destacan la importancia de evaluar y fortalecer la preparación de los empleados como una estrategia esencial para mitigar estos riesgos.

De acuerdo con Pablo García, especialista en ciberseguridad y BDM Cyber de TIVIT, el factor humano desempeña un papel crucial en la protección contra amenazas digitales. “Los empleados deben estar capacitados para identificar y responder adecuadamente a intentos de phishing, malware y otras amenazas”, afirmó García. En este contexto, el especialista propone cuatro acciones clave que las empresas pueden implementar para medir y mejorar el nivel de preparación de sus colaboradores frente a posibles ciberataques.

Una de las estrategias más efectivas para evaluar la preparación de los empleados es la realización de simulaciones de ciberataques. Según explicó TIVIT, estas pruebas internas pueden incluir intentos de phishing, ingeniería social y accesos no autorizados a sistemas. El objetivo es analizar cómo reaccionan los trabajadores ante estas situaciones y detectar posibles fallos en su comportamiento. Además, se recomienda que estas simulaciones se realicen de manera periódica, lo que permite identificar patrones de vulnerabilidad y reforzar la capacitación en las áreas más críticas.

Este enfoque no solo ayuda a las empresas a entender sus puntos débiles, sino que también fomenta una cultura de alerta constante entre los empleados. Al enfrentarse a escenarios simulados, los trabajadores pueden aprender a reconocer señales de peligro y actuar de manera más efectiva en caso de un ataque real.

La capacitación constante es otro pilar fundamental en la lucha contra los ciberataques. Según TIVIT, gran parte de los incidentes de seguridad exitosos se deben a errores humanos, lo que subraya la necesidad de educar a los empleados sobre las amenazas emergentes. Para ello, se sugiere implementar talleres presenciales o virtuales que incluyan escenarios reales y refuercen conceptos clave como la creación de contraseñas seguras, el uso de redes WiFi protegidas y el manejo adecuado de información sensible.

Además, Pablo García destacó la importancia de adaptar las capacitaciones a las necesidades específicas de cada área dentro de la organización. Esto asegura que todos los colaboradores, desde personal administrativo hasta técnicos especializados, comprendan los riesgos particulares a los que están expuestos y sepan cómo enfrentarlos.

Más allá de la capacitación, es esencial evaluar cuánto han aprendido los empleados sobre ciberseguridad. Según informó TIVIT, la aplicación de cuestionarios y pruebas periódicas permite medir el nivel de comprensión de los protocolos de seguridad y la capacidad de reacción ante incidentes. Estas evaluaciones pueden incluir ejercicios prácticos, como la detección de correos electrónicos sospechosos, la identificación de intentos de fraude y simulaciones de incidentes para medir la rapidez y eficacia de la respuesta.

Las empresas que adoptan este enfoque pueden reducir diametralmente los errores de seguridad cometidos por el personal, fortaleciendo así su defensa contra posibles ataques. Además, estas pruebas ofrecen una oportunidad para identificar áreas de mejora y ajustar las estrategias de capacitación según sea necesario.

Otro aspecto crítico señalado por TIVIT es la necesidad de establecer políticas claras de seguridad digital dentro de las organizaciones. Muchas veces, los empleados desconocen las normativas internas, lo que los hace más propensos a cometer errores que pueden comprometer la seguridad de la empresa. Por ello, se recomienda contar con un manual de buenas prácticas que sea comunicado de manera efectiva a todos los colaboradores.

Entre las reglas básicas que deben incluirse en estas políticas se encuentran el uso obligatorio de autenticación multifactor (MFA) para accesos sensibles, la prohibición de compartir contraseñas o credenciales a través de correo o mensajería, y las restricciones en el uso de dispositivos personales para tareas laborales si no cuentan con la protección adecuada. Además, es fundamental establecer protocolos claros de respuesta ante incidentes, como qué hacer al recibir un correo sospechoso o al detectar actividad inusual en los sistemas.