El factor humano como riesgo en la ciberseguridad de las empresas, ¿cómo mitigarlo?
Por: Carlos Macías, Country Manager de Citrix México.
La ciberseguridad ha cobrado gran importancia en los últimos años, no sólo por la información crítica que almacenan las empresas, sino también por el aumento de datos personales en línea y el incremento en el número de amenazas. Muestra de ello es que los ataques cibernéticos a las compañías mexicanas aumentaron un 89% en el último semestre del 2017. Ante este panorama, las organizaciones están focalizando sus esfuerzos en fortalecer sus infraestructuras y sistemas para protegerse. Sin embargo, en esta planeación deben considerar que, actualmente, el factor humano y las rutinas diarias de los usuarios suponen el mayor riesgo de seguridad para cualquier organización.
Por ello, la lucha contra los atacantes depende en gran medida de los empleados de las compañías. Sus acciones, junto con redes no administradas y estados cuestionables de los dispositivos se combinan para crear grandes brechas de seguridad. Por ejemplo, navegar en Internet es una de las actividades más comunes de los trabajadores modernos y, sin embargo, es clasificada como una de las acciones más peligrosas para que los atacantes realicen suplantación de identidad (phishing), propaguen malware y ransomware a la organización. Por lo tanto, si bien las estrategias de seguridad sólidas deben incluir políticas inteligentes, monitoreo riguroso e informes detallados, también deben reflejar las necesidades y hábitos de los usuarios de la compañía.
En este punto cabe mencionar que mantener a los empleados seguros y satisfechos no es fácil. Según el estudio de Citrix, “El trabajador digital: qué busca y cómo trabaja”, el 36% de los empleados mexicanos considera que las políticas de seguridad en su empresa son restrictivas para su productividad. Los colaboradores quieren acceder a la información desde cualquier lugar y en cualquier dispositivo, sin protecciones de seguridad engorrosas que ralenticen sus tareas.
Entonces, ¿en qué deben enfocarse los líderes de TI para reforzar la seguridad en referencia a sus colaboradores? Una fuerza de trabajo informada y consciente de la seguridad es el primer paso en la defensa de cada compañía contra amenazas de seguridad. Capacitar a las personas sobre cómo trabajar de manera segura desde cualquier dispositivo debe ser una prioridad. Las áreas de Ti también tienen que comprender quiénes son sus usuarios, qué hacen y qué necesitan. Posteriormente, explicarles las políticas de seguridad de su compañía en términos que se entiendan fácilmente y sean relevantes para su rol.
Por otro lado, solamente con el entrenamiento no se garantiza una seguridad sólida. Muchos de los dispositivos, redes y sistemas de almacenamiento de los que dependen los empleados actualmente están fuera del control de TI. Es clave actualizar las políticas de seguridad tradicionales para la nueva realidad de servicios móviles y en la nube. Se puede empezar por la gestión de los accesos a los datos corporativos en función de dónde se encuentra un empleado y qué tipo de dispositivo está usando. La mayoría de las empresas adoptan políticas graduales que protegen la información sensible según el modelo de productividad, por ejemplo, si existe el BYOD o si todos los dispositivos son a nivel empresarial.
Por último, para reducir aún más las infracciones, se recomienda el uso de la virtualización de escritorios y aplicaciones ya que proporciona a las organizaciones una forma optimizada de administrar la seguridad y riesgos de los espacios de trabajo remotos. La base de la virtualización es la centralización de los recursos de TI en el centro de datos, una arquitectura inherentemente segura que facilita el control de la información y el acceso a ella. Las aplicaciones y escritorios virtualizadas y administradas centralmente se entregan a demanda a cualquier dispositivo, con lo que se proporciona una experiencia que es como trabajar en el PC tradicional.
En conclusión, la movilidad ha dado a las personas la libertad de trabajar en cualquier lugar, y momento, y para conseguirlo necesitan acceso a la información para mantenerse productivos. Para hacerlo de una forma segura, aparte de capacitar a la fuerza laboral en términos de seguridad de los datos, las compañías tienen que visualizar soluciones de espacios de trabajo que incluyan software que combine el acceso seguro a aplicaciones y datos con control contextual, visibilidad y análisis de comportamiento en dispositivos, redes y nubes. Con ello, podrán proteger, detectar y mitigar de forma proactiva el riesgo con inteligencia aplicada a cada escenario único con el objetivo de erradicar las posibles brechas que provienen del factor humano.
