El factor humano: elemento clave de la ciberseguridad

Cristina del Carmen Arroyo Siruela    23 septiembre, 2021
Factor humano ciberseguridad

Cuando se dice que hay que bastionar un servidor, el personal de ciberseguridad tiene una idea de qué se trata y en qué consiste. Pero ¿y qué hay de la seguridad o securización de las personas? Los empleados son activos de las empresas y como tales, participan en el ciclo de generación de un servicio, sistema o producto. ¿Basta únicamente con bastionar los sistemas y redes, así como mejorar los procesos de productividad para estar seguros? ¿Cuál es la importancia del factor humano en la ciberseguridad?

El artículo Amenazas y principales ciberataques en 2021, destaca los ataques más reseñables en 2021. Destacan tanto el ransomware como phishing, y ambos requieren, en la mayoría de los casos, especialmente el phishing, de interacción humana.

De hecho, se establece que 1 de cada 5 brechas de seguridad tienen como origen un error, directo o indirecto, de un empleado, siendo en la mayoría de los casos de manera inconsciente.

El cambio de contraseña, acción llevada a cabo periódicamente por los usuarios, se considera una acción tediosa y repetitiva, donde los usuarios incurren en el uso de los mismos patrones de contraseñas o el empleo de las ya utilizadas en redes públicas.

Esto impide ver y entender la importancia que tienen este tipo de acciones sobre la generación de servicios o productos.

El factor humano es un elemento clave de la seguridad, ya que participa en todos los procesos de funcionamiento de una organización.

El factor humano en la ciberseguridad

Se ha registrado grandes mejoras en aplicaciones, hardware, aplicación de IA y Big Data, formación y otras acciones en materia de seguridad. Algunas de ellas están dirigidas directamente a las personas, como es la formación y concienciación.

Pero si hay cada vez mayor grado de concienciación en ciberseguridad en las empresas, ¿por qué se sigue considerando el factor humano como un eslabón débil en la ciberseguridad?

El factor humano debe considerarse como elemento base de la ciberseguridad, teniendo en cuenta que las todas las acciones de ciberseguridad, de una manera u otra, requieren en algún momento de interacción humana. Tanto las acciones técnicas (bastionar un cortafuegos), como las acciones de formación en ciberseguridad (diseñar un plan formativo), como la definición de una estructura de seguridad, son diseñadas por personas.

Para afrontar la problemática del error humano, algunos profesionales han diseñado métodos basados en el análisis de riesgos del factor humano. En este análisis se evalúan los distintos riesgos asociados al factor humano y sistemas, y se le da diferentes valores a cada uno de los riesgos, según la propia metodología.

Según los resultados obtenidos, los responsables de seguridad podrán identificar aquellos sistemas y clases de usuarios más expuestos al riesgo o vulnerables, y tomar las decisiones y medidas que conduzcan a mitigar esos riesgos, sin que estas impacten al resto del entorno. Son este tipo de acciones y medidas las que pueden ayudar a reforzar y mejorar la relación entre la ciberseguridad y el factor humano.

La seguridad forma parte de la cultura empresarial

El compromiso con la seguridad ha de formar parte de la cultura empresarial y no ser un hándicap de cara a la productividad o generación de servicios. Se debe trabajar en reforzar, siempre de manera conjunta, el mensaje de que la seguridad es de todos y que esta se debe aplicar de manera conjunta y participativa.

Para ello, se requiere de planes de ciberseguridad donde participen múltiples áreas, aportando su conocimiento e ideas y llevando a cabo acciones conjuntas de carácter trasversales. Para el éxito de estas iniciativas, se requiere el liderazgo de figuras relacionadas con la seguridad tales como el CISO o DPI (Direccion de protección de la información).

La dirección de una empresa debe conocer de primera mano los planes de ciberseguridad y ser capaz de transmitirlo a sus empleados, siempre abogando por un compromiso global.

La ciberseguridad es, cada vez más, un tema recurrente en los comités y reuniones empresariales, acercándose a la importancia que tiene la estrategia o los presupuestos.

El compromiso de todos los miembros de una organización en materia de ciberseguridad ayudará a la reducción de la materialización de los ciberincidentes y, en algunos casos, a que el impacto al materializarse un ciberincidente sea menor y la recuperación sea más eficaz.

Seguridad por defecto y principio base

No todas las organizaciones realizan un análisis tras un ataque para saber cuál fue el error o vulnerabilidad. Eso implica que pueda repetirse el ciberataque o uno similar al desconocer las debilidades, vulnerabilidades, tanto estructurales como organizativas o técnicas.

El concepto seguridad por defecto y principio base debe aplicarse a la base y estructura de una organización, a los procesos internos de la empresa, y al modo de actuar de los empleados en todo momento, debiendo buscar la implicación global de la organización.

Podemos tomar como ejemplo el mundo del desarrollo, donde de manera más extendida, se establece la seguridad por defecto como un requisito casi indispensable y formando parte del diseño base del producto, desde la fase del producto mínimo viable (PMV) en adelante.

Las políticas y procedimientos de seguridad son insuficientes de cara a proteger una organización, especialmente si estos son desconocidos o no se aplican por los empleados.

Son las acciones de los usuarios, ya sea aplicando medidas técnicas como formándose o llevando acciones de seguridad, las que protegen a las organizaciones. Se trata de eliminar el estigma de que la seguridad por defecto dificulta o impide los procesos internos y las funciones laborales en general.

Sin embargo, tampoco se puede descartar, como una de las causas principales de cara a aplicar las medidas de seguridad por defecto, la falta de capacitación o la falta de personal cualificado en seguridad informática.
Esto supone un hándicap para las empresas que requieren de personal cualificado y con las aptitudes necesarias para desempeñar funciones de seguridad.

El cortafuegos humano es la concienciación y capacitación

No existe una fórmula magistral que permita reforzar plenamente el factor humano y que impida que sea el eslabón débil de la ciberseguridad. Iniciativas para incentivar la formación en ciberseguridad, concienciación, ejercicios red team-blue team, campañas de phishing y reforzar las capacitaciones, son acciones que ayudarán en la ciberseguridad corporativa pero no impedirán los ciberataques y en algunos casos, no serán suficientes para mitigarlos o contenerlos.
No obstante, el mejor cortafuegos humanos es la inversión y acciones de concienciación y capacitación.

Actualmente, existen muchos tipos de formación, capacitación, iniciativas, pero se recomienda innovar con el fin de captar la atención del usuario, por ejemplo, a través de acciones tipo “gamificación”, que fomentan la participación e interacción del propio usuario.

Otro tipo de iniciativa de concienciación en ciberseguridad que podría puede resultar más estimulante acciones tipo recompensa y reconocimiento a aquellos empleados que participen en la detección de vulnerabilidades, fallos de seguridad, a tanto a nivel técnico como de gestión frente a mandar continuamente píldoras de concienciación poco motivadoras y escasamente visuales.

Las iniciativas en materia de concienciación y capacitación son tratados como temas importantes en las grandes corporaciones y se les dedica gran parte del presupuesto, pero sigue siendo una asignatura pendiente en medianas y pequeñas empresas.

Según el informe Digital Trust Insights 2021 de PwC, el 55% de las empresas participantes en el estudio aumentó su presupuesto en ciberseguridad durante el 2021. La capacitación es un punto clave a considerar en materia de ciberseguridad. Esta no debe focalizarse en el desarrollo y mejora de las hardskills sino que también se deben valorar e incentivar el desarrollo de las softskills en todo el personal.

La mejor arma contra los ciberdelincuentes la inversión en la concienciación y la capacitación del factor humano, elemento clave de las empresas.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.