¿Como hacer frente al impacto psicológico de los ciberataques?
Los ciberataques pueden llegar al núcleo de cualquier organización y tienen el potencial de afectar gravemente a su reputación, rendimiento y finanzas. Acumulado, el coste es realmente enorme, con una estimación reciente que sitúa el coste anual global sólo del ransomware en más de 10.000 millones de euros para 2025.
Impacto humano de los ciberataques
Aparte del enorme impacto empresarial que suelen generar estas situaciones, existe un elemento humano preocupante y a menudo pasado por alto que puede tener graves consecuencias personales para los implicados, en particular, los empleados que son objetivo de las amenazas de ciberseguridad y los profesionales de la ciberseguridad encargados de mitigar el impacto de un ataque. En ambos casos, pueden sufrir una serie de daños graves y duraderos que, según un estudio del Royal United Services Institute (RUSI), incluyen desde problemas psicológicos, físicos y financieros hasta problemas de reputación y sociales.
Según el estudio del RUSI, el ransomware puede arruinar vidas, con incidentes que “han provocado la pérdida de puestos de trabajo, han evocado sentimientos de vergüenza y autoinculpación, se han extendido a la vida privada y familiar y han contribuido a graves problemas de salud”.
Consecuencias psicológicas y de salud
Los datos publicados el año pasado, por ejemplo, mostraron que casi dos tercios de quienes responden a incidentes de ciberseguridad buscan asistencia de salud mental debido a la naturaleza exigente de enfrentarse a ataques cibernéticos. Por otra parte, un estudio de 2022 reveló que uno de cada siete miembros del personal de seguridad experimenta síntomas de trauma meses después de un ataque, y uno de cada cinco se plantea cambiar de trabajo como consecuencia de ello.
Aprendizaje cultural
Entonces, ¿qué hay que cambiar para cambiar esta situación? La clave de todo el proceso es comprender claramente que todo el mundo en las organizaciones modernas, centradas en lo digital, puede ser potencialmente vulnerable al impacto de un incidente de seguridad. En el centro de este enfoque está la creación de una cultura organizativa que acepte activamente las oportunidades de compartir conocimientos y el papel de una comunicación sólida tanto en la prevención de ataques como en la mitigación de su impacto posterior. Los empleados no sólo deben compartir la responsabilidad de una ciberseguridad eficaz, sino también desempeñar un papel de apoyo para mitigar el miedo y el estigma que a menudo experimentan las víctimas.
En este contexto, la educación y la formación desempeñan un papel crucial para prevenir las violaciones de datos y limitar su impacto psicológico en los implicados. Dada la creciente sofisticación de las estrategias altamente convincentes basadas en IA por parte de los actores de las amenazas, la urgencia es mayor que nunca en todos los niveles organizativos. En términos prácticos, los programas de formación de equipos deben incorporar escenarios del mundo real que no solo detallen los incidentes de ciberseguridad, sino que también exploren su impacto psicológico, fomentando así una comprensión y empatía más profundas entre todos los empleados.
Técnicas de protección
Es comprensible que una ciberseguridad eficaz esté muy orientada a la comprensión de cuestiones profundamente técnicas que requieren conocimientos especializados, experiencia y herramientas sofisticadas. Sin embargo, las posibilidades cada vez mayores de manipular a casi cualquier persona, independientemente de su competencia técnica, hacen que el problema sea aún mayor. El rápido desarrollo de la IA es sólo una de las razones de ello; por ejemplo, es mucho más fácil para los phishers generar correos electrónicos falsos, crear deepfakes muy realistas y generar malware. Por lo tanto, es vital que existan procesos para evitar que las estrategias de ingeniería social tengan éxito.
Por ejemplo, la aplicación de controles de procesos y limitaciones en áreas como las transferencias de dinero puede ayudar a reducir las posibilidades de éxito de los ataques. Las organizaciones que planifican con antelación y tienen en cuenta las posibles áreas de vulnerabilidad de los empleados no técnicos tienen muchas más probabilidades de vencer los ataques de deepfake y otras tácticas sofisticadas que las que dan por sentado que no serán objeto de ataque.
Apoyo a los Empleados
Este planteamiento debe extenderse también al apoyo prestado a los empleados víctimas de un ataque o que forman parte del equipo responsable de la mitigación y recuperación. En este caso, los mecanismos internos de ayuda desempeñan un papel vital, ya que permiten a los empleados acceder a los recursos necesarios para apoyar su salud mental. En lugar de culpar a los individuos por errores que cualquiera podría cometer, desde el empleado más junior hasta el director general, las organizaciones deberían centrarse en aprender de sus experiencias de forma colectiva.
Compromiso con el bienestar integral
Sin este sistema cultural positivo, las organizaciones corren el riesgo muy real de que los empleados simplemente no informen de los incidentes de ciberseguridad a la dirección, sobre todo por miedo a las repercusiones a las que puedan enfrentarse. De hecho, un estudio publicado el año pasado sobre este problema demostró que más del 40% de los ciberataques no se comunicaban a la dirección interna. De las personas que no informaron de un incidente, tres cuartas partes afirmaron sentirse culpables por ello.
En conjunto, está claro que los empleados implicados en incidentes de ciberseguridad, ya sea como víctimas involuntarias o como parte del equipo de ciberseguridad, pueden encontrarse bajo una inmensa presión. En una época en la que las empresas se centran cada vez más en el bienestar en el lugar de trabajo, dejar estos problemas sin tratar puede representar un grave déficit de atención que puede tener consecuencias personales devastadoras.
Las organizaciones que aplican de forma proactiva medidas para prevenir las brechas de seguridad, al tiempo que fomentan un entorno de apoyo para los afectados por incidentes cibernéticos, no sólo son más resilientes, sino que también demuestran un compromiso con el bienestar integral de los empleados. Frente a los riesgos asociados a la ciberseguridad y la protección de datos, se trata de una cualidad organizativa muy poderosa.
Fuente: Computing Es. Originalmente publicado el 22 jul 2024.