La ciberseguridad es responsabilidad de todos. Como seres humanos, somos cooperativos por naturaleza, prosperamos con la colaboración y el éxito compartido. Este sentido de unión no solo fortalece nuestras comunidades, sino que también es vital para construir organizaciones sólidas y eficientes frente a las crecientes amenazas cibernéticas.
En este artículo, exploraremos cómo los empleados desempeñan un papel crucial en las estrategias de seguridad eficaces y contribuyen a la gestión del riesgo humano. Hablaremos de la importancia de fomentar una cultura empresarial en la que la ciberseguridad se considere una responsabilidad colectiva, y de cómo aunar esfuerzos en una misma dirección puede ayudar a crear una organización cibersegura. Sin embargo, conseguirlo requiere una planificación y una preparación minuciosas para garantizar que todo el mundo comprenda su papel en el control de las amenazas modernas a la ciberseguridad.
La ciberseguridad es algo más que tecnología
Los atacantes de seguridad buscan un camino fácil; después de todo, ¿por qué complicarse la vida? El "viaje fácil" se presenta en forma de escenarios de ataques de ciberseguridad que utilizan a un ser humano, normalmente un empleado o socio comercial, para abrir la puerta de la red corporativa.
Normalmente, los ciberdelincuentes utilizan técnicas de ingeniería social y phishing para entrar en la red, y una vez dentro, los ciberatacantes pueden darse un festín de datos, instalar ransomware y causar estragos en general.
Los investigadores de la Universidad de Stanford descubrieron que el 88% de las violaciones de la seguridad tenían un elemento de error humano, ya que los empleados a menudo no están dispuestos a admitir sus errores. El informe también identificó a los correos electrónicos de phishing como la causa del 25% de las violaciones, con estafas de phishing que atraen a los empleados utilizando ingeniería social y trucos psicológicos para manipular el comportamiento.
Para agravar el éxito del elemento humano en los ciberataques, se ha demostrado que las herramientas de seguridad tradicionales, como el software antivirus, sólo son un 50% eficaces a la hora de detectar amenazas. Este doble golpe de la ingeniería social, unido a unas tecnologías de seguridad con una eficacia inferior al 100%, ha llevado a los equipos de TI a comprender que necesitan un enfoque más holístico para proteger los recursos.
Por el contrario, los profesionales de la seguridad saben que para hacer frente a los ciberataques deben incorporar una combinación de formación sobre concienciación en materia de seguridad y medidas tecnológicas dirigidas por un sólido cumplimiento de las políticas.
En última instancia, todos los miembros de una organización tienen un papel que desempeñar para crear una capa de protección contra los ciberataques. El uso de cinco valores fundamentales ayuda a consolidar la responsabilidad de todos en una empresa.
Crear una mentalidad de ciberseguridad responsable a través de cinco valores fundamentales
Reconocer que la ciberseguridad es responsabilidad de todos y que los empleados son una parte crucial de una estrategia eficaz de ciberseguridad conduce al concepto de cortafuegos humano. Se trata de una idea que se basa en permitir a los empleados actuar como un escudo contra las ciberamenazas centradas en el ser humano.
Los empleados son un objetivo de los ciberdelincuentes que buscan formas fáciles de entrar en una organización. La responsabilidad efectiva y procesable requiere las herramientas de protección contra los ataques que se centran en los empleados; un empleado empoderado reduce la probabilidad de un ataque exitoso.
Construir un sólido cortafuegos humano requiere un cambio de mentalidad. Este cambio de mentalidad crea una cultura de ciberseguridad, basada en una buena educación en materia de seguridad y en herramientas y medidas que proporcionan a los empleados y a otras personas que no son empleados los medios para ayudar a detectar y atajar el phishing y otras estafas como el Business Email Compromise (BEC).
Esta mentalidad de "la seguridad es lo primero" es defendida por el Instituto Nacional de Normas y Tecnología (NIST). Una publicación del NIST de 2018 "La seguridad es tarea de todos" establece cinco valores fundamentales que se utilizan para crear una cultura de ciberseguridad que el NIST considera "crítica" para una postura de ciberseguridad exitosa:
1/ Mentalidad
El NIST afirma que la cultura de la ciberseguridad es fundamental para imbuir a toda la organización de una mentalidad que dé prioridad a la seguridad. Esta piedra angular de la seguridad empresarial sienta las bases para mejorar la seguridad mediante la concienciación sobre los trucos y las estafas que conducen a la exposición de los datos, el ransomware y otras violaciones de la seguridad.
2/ Leadership
El tono de la responsabilidad en materia de seguridad debe provenir de la cúpula de la empresa para fomentar e imponer la mentalidad de seguridad necesaria para frustrar los ciberataques.
Este liderazgo descendente en materia de seguridad se está formalizando, ya que Gartner, Inc. predice que "para 2025, el 40% de los consejos de administración tendrán un comité de ciberseguridad dedicado supervisado por un miembro cualificado del consejo". Los líderes deben predicar con el ejemplo, y actuar para influir y modelar los buenos hábitos de seguridad.
3/ Formación y sensibilización
El NIST reconoce que uno de los pilares fundamentales de una organización segura es la formación en materia de seguridad. Educando a los empleados sobre los trucos de ingeniería social y enseñándoles a detectar los correos electrónicos de phishing, los empleados pueden "cerrar la puerta de la ciberamenaza" en las narices del ciberdelincuente.
4/ Gestión del rendimiento
Los objetivos de la organización deben alinearse con los objetivos de rendimiento individual. El NIST sugiere el uso de incentivos y desincentivos para ayudar a modificar los comportamientos deficientes en materia de ciberseguridad.
5/ Refuerzo técnico y político
Las medidas técnicas, como la autenticación multifactorial (MFA) y las políticas de contraseñas, deben utilizarse para aumentar y aplicar una buena higiene de seguridad.
La ciberseguridad es responsabilidad de todos
La ciberseguridad es responsabilidad de todos. Pero cuando se responsabiliza a alguien de algo, hay que darle las herramientas necesarias para que actúe en función de esa responsabilidad.
Para comenzar el proceso de convertirse en una organización ciberresponsable, una empresa debe crear una cultura en la que la seguridad sea algo natural. Los seres humanos son cooperativos por naturaleza, y el sentido de la responsabilidad puede cultivarse mediante la aplicación de los cinco valores fundamentales del NIST, como se muestra más arriba.
Estos valores le permiten subrayar e imponer el sentido de la responsabilidad en materia de ciberseguridad y proporcionar a los empleados los medios para cumplir con esa responsabilidad y actuar como una fuerza combinada contra los ataques de ingeniería social.
