El factor humano de la ciberseguridad
Por Mazhar Hamayun, Oficina del CTO, Check Point Software Technology
En mis dos décadas de carrera en ciberseguridad, he observado de primera mano que, si bien la tecnología desempeña un papel importante en la protección de las organizaciones, el elemento humano es igualmente crucial. A menudo se dice que los protocolos de seguridad más sofisticados pueden verse socavados por un solo clic de un empleado desinformado o descuidado. En este artículo, pretendo arrojar luz sobre el “factor humano”, a menudo pasado por alto, y ofrecer recomendaciones para ayudar a las empresas a reforzar este eslabón más débil de la cadena de ciberseguridad.
El panorama actual de las amenazas
El panorama mundial de la ciberseguridad es complejo y está en constante cambio, con nuevas vulnerabilidades y amenazas que surgen casi a diario. Hemos avanzado mucho en la implantación de arquitecturas de confianza cero, la implementación de algoritmos avanzados de inteligencia artificial (IA), cortafuegos, sistemas de detección de intrusiones y mucho más para salvaguardar nuestras organizaciones. Sin embargo, es sorprendente observar que la mayoría de los incidentes de seguridad no son únicamente el resultado de sofisticadas técnicas de piratería informática, sino que a menudo se ven favorecidos por errores humanos.
Los errores humanos, como caer en correos electrónicos de phishing, prácticas de contraseñas débiles o fugas accidentales de datos, pueden hacer vulnerable la red fortificada de una organización. Estos errores no se limitan al personal subalterno; incluso los ejecutivos son presa de este tipo de ataques. Es evidente que nadie es inmune, por lo que los factores humanos son una preocupación urgente para todas las organizaciones. Por ejemplo, la reciente brecha en los resorts MGM fue el resultado de una simple ingeniería social. El autor de la amenaza engañó al empleado del servicio de asistencia para que restableciera una contraseña sin información suficiente.
El coste de la negligencia
Descuidar el factor humano puede acarrear considerables pérdidas económicas, dañar la reputación y perder la confianza de los clientes. A veces, el daño es irreversible. Tras un incidente, las organizaciones suelen darse cuenta de que podrían haber evitado la brecha si hubieran invertido en medidas de seguridad centradas en el factor humano.
Además, a partir del 18 de diciembre de 2023, la SEC exigirá a las empresas públicas que informen de los incidentes cibernéticos materiales en un plazo de cuatro días hábiles. Esto aportará una mayor transparencia a los inversores y clientes, y también pondrá en el punto de mira a las empresas que sufran infracciones importantes.
Estrategias para reducir los riesgos de origen humano
En un mundo saturado de ciberamenazas, centrarse únicamente en soluciones tecnológicas es como construir una fortaleza pero dejar la puerta sin vigilancia. De hecho, Rupal Hollenbeck, Presidente de Check Point, suele decir que la ciberseguridad se trata realmente de “personas, procesos y tecnología, en ese orden”. Al aumentar la concienciación y la comprensión del factor humano en la ciberseguridad, las organizaciones pueden construir una defensa más sólida y completa contra las ciberamenazas.
En mi papel de arquitecto y evangelista, abogo firmemente por la integración de estrategias centradas en el ser humano en su enfoque de ciberseguridad. Recuerde que la estrategia de seguridad más eficaz es la que tiene en cuenta las vulnerabilidades tanto de las máquinas como de las personas.
En mi experiencia he visto a los CISO realizar ciertos cambios para reducir este riesgo, haciendo lo siguiente:
Ataques de phishing
El arte del engaño es la mejor herramienta de un hacker. Los empleados suelen ser víctimas de correos electrónicos o mensajes que parecen auténticos, pero que están diseñados para recopilar información confidencial o instalar malware. La mayoría de las organizaciones limitan su defensa al correo electrónico corporativo e ignoran el mayor vector de amenaza en torno a la defensa frente a amenazas móviles: proteger a los empleados para que no sean víctimas de un ataque de mensajes de texto o smishing a través de distintas aplicaciones de chat o correo electrónico personal que se ejecutan en el mismo dispositivo móvil. De hecho, el coste medio de una brecha de phishing es de 4,76 millones de dólares. Está claro que hay que centrarse en este aspecto para mejorar la protección.
Ver más: ¿Cuál es el camino hacia la ciberresiliencia?
Ver más: Evite ser víctima de ciberdelincuentes en sus compras de Cyber Monday, Black Friday y más