El "human in the machine" (ser humano en la máquina) es una consideración fundamental al crear una estrategia eficaz para minimizar el cyber security risk. Sin embargo, esta afirmación tiene muchos aspectos, ya que nuestros empleados son una parte vital del éxito de nuestra organización; en lugar de repartir culpas, debemos separar lo malicioso de lo accidental, detectando lo primero y previniendo lo segundo.
Mediante una formación centrada en la concienciación sobre la seguridad, se pueden mitigar los factores humanos que conducen a los fallos humanos. He aquí cómo y por qué se puede gestionar el riesgo de ciberseguridad a través de la concienciación sobre la seguridad.
Cyber security risk: Por qué los factores humanos provocan riesgos de ciberseguridad
El factor humano en el riesgo de ciberseguridad suele denominarse "amenaza interna". El "insider" adopta la forma de empleados y no empleados, como los consultores. El simple hecho de que las personas con información privilegiada formen parte de los procesos de una organización y utilicen los recursos informáticos con permiso, hace que sea difícil abordar los fallos humanos que conducen al riesgo de ciberseguridad.
El riesgo de ciberseguridad relacionado con información privilegiada es un problema importante: un informe sobre amenazas internas de 2020 elaborado por Cyber Security Insiders señala que el 68% de las organizaciones se sienten "entre moderada y extremadamente vulnerables" a las amenazas internas. Esto no es sorprendente cuando se observan algunos de los titulares de ciberataques del año pasado, como el ataque a Twitter de 2020, en el que se accedió a cuentas de Twitter de alto perfil, incluida la de Barack Obama, y se utilizaron para engañar a los usuarios de Twitter para que realizaran transacciones ilícitas de bitcoin. Las pérdidas se estiman en unos 180 millones de dólares (129 millones de libras) y el precio de las acciones de Twitter se desplomó un 4%. El pirateo consistió en la suplantación de identidad de empleados de Twitter y el robo de credenciales privilegiadas.
Los factores humanos son utilizados por los ciberdelincuentes para efectuar accesos no autorizados, robar credenciales e infectar los sistemas informáticos y los puntos finales con malware como el ransomware. Sin el efecto humano en la máquina, la ciberdelincuencia sería mucho más difícil.
Los factores humanos que conducen a los fallos humanos
Según un estudio de IBM, las tres principales áreas en las que hay que centrar la atención a la hora de crear estrategias de seguridad para mitigar los riesgos de ciberseguridad son:
- Phishing
- Escanear y explotar
- Uso no autorizado de credenciales
Los tres vectores tienen un elemento que implica un factor humano en algún punto de la cadena de ataque.
Phishing y spear-phishing - factores humanos: Esto requiere que un objetivo humano haga clic en un enlace o abra un archivo adjunto infectado para iniciar la cadena de infección. A menudo, el phishing se utiliza para atacar a usuarios con privilegios (spear phishing) con el fin de obtener sus credenciales. Los usuarios con privilegios tienen acceso a los recursos más importantes: el robo de credenciales privilegiadas es el cáliz de oro de la piratería informática. Aquí entra en juego un factor humano, como la respuesta automática al clic.
Escanear y explotar - fallo humano: los hackers utilizan cualquier cosa que les facilite la vida y poder escanear automáticamente las vulnerabilidades es un vector útil para la infección de malware. Los componentes de los sistemas informáticos, como los servidores web, las bases de datos y las aplicaciones en la nube, pueden acabar mal configurados si no se conoce bien el impacto de una seguridad deficiente. Las aplicaciones y los componentes web inseguros dan lugar a agujeros de seguridad que los hackers pueden explotar. En este caso, el fallo humano conduce al riesgo de ciberseguridad.
Uso no autorizado de credenciales - fallos y factores humanos: el robo de credenciales conduce a un acceso no autorizado a los sistemas y recursos informáticos. Las formas en que las credenciales pueden ser utilizadas sin autorización incluyen:
- Shoulder surfing: las credenciales se roban cuando una persona malintencionada observa a alguien introducir una contraseña.
- Phishing: engañar a una persona para que introduzca sus credenciales de acceso en una página de acceso falsa.
- Ingeniería social: engañar a una persona para que entregue una credencial de inicio de sesión por teléfono, medios sociales o utilizando otros métodos de comunicación, como correos electrónicos, mesas de ayuda y textos.
En los tres vectores de piratería más exitosos, tanto el factor humano como los fallos humanos ocupan un lugar destacado. El riesgo de ciberseguridad se concentra en nuestros empleados y no empleados, pero ¿cómo podemos reducir este riesgo?
Mejores prácticas para evitar que los factores humanos se conviertan en fallos humanos
Un estudio de Kaspersky, centrado en el papel que desempeñan los factores humanos en el riesgo de la ciberseguridad, descubrió que el "personal descuidado o desinformado"" es la segunda causa más probable de una violación grave de la seguridad; la infección por malware es la primera, pero a menudo es causada a su vez por personal descuidado o desinformado. Con los altos niveles de riesgo asociados a los factores humanos, reducir los fallos es vital para mitigar el riesgo de seguridad.
Destacan dos áreas que abarcan tanto al personal descuidado como al desinformado:
Decisiones descuidadas que conducen a un fallo de seguridad: tomar malas decisiones de seguridad, como desconfigurar los sistemas y componentes de TI, o hacer clic en un enlace de phishing antes de pensar, son fallos humanos que conducen a un mayor riesgo de ciberseguridad. La mala configuración de los sistemas y componentes de TI es un ejemplo de decisión de seguridad descuidada. Hacer clic en un enlace de phishing es otro. Tanto el personal de TI como el que no lo es son capaces de tomar decisiones descuidadas que conducen a fallos de seguridad. Garantizar que todo el personal, tanto técnico como no técnico, sea consciente del impacto de sus decisiones, es una forma fundamental de mitigar el riesgo de ciberseguridad.
El personal desinformado provoca fallos de seguridad: si el personal no es consciente de sus acciones, ¿cómo puede conocer las consecuencias para la seguridad? Las empresas forman habitualmente al personal en otras áreas de la empresa, y esto debería extenderse a la formación en materia de seguridad. La formación del personal en materia de seguridad incluye la comprensión del funcionamiento del phishing, así como de otros fallos de seguridad comunes, como el uso compartido de contraseñas y el envío erróneo de correos electrónicos. Según el Informe de Verizon sobre Investigación de Fallas de Datos (DBIR), los errores de envío siguen aumentando como forma de error humano.
Mitigación del factor humano en los riesgos de ciberseguridad
El estudio de Kaspersky identificó un elemento crucial del fracaso humano en materia de seguridad: el afán por ocultar los errores. El estudio descubrió que en el 40% de las empresas, los empleados ocultaban los incidentes de seguridad. Esta cifra debería hacer saltar las alarmas y hacer que la gente intensifique su formación en materia de seguridad. Incluso si el empleado entendía la implicación de un evento de seguridad, se sentía obligado a ocultar la información. Esto plantea la pregunta de por qué, con una respuesta en dos partes:
Hacer de la seguridad una cultura: puede sonar a cliché, pero si la noción de seguridad está arraigada en su cultura corporativa, es menos probable que el personal se sienta abrumado y temeroso cuando ocurra algo. La cultura de la seguridad se crea mediante la formación de concienciación sobre la seguridad para ayudar a formar hábitos de seguridad positivos en los empleados.
Facilite la notificación de un incidente de seguridad: es necesario notificar los incidentes para que pueda actuar sobre ellos el personal cualificado adecuado que refleje el nivel de riesgo. Un sistema de notificación, diseñado para que la notificación sea superfácil para los empleados, eliminará el dolor de la notificación de incidentes y hará que sea más probable que se produzca.
Los factores humanos provocan fallos humanos. Mediante la formación en ciberseguridad, las organizaciones pueden abordar los comportamientos humanos que provocan errores por descuido y malas decisiones, reduciendo así el riesgo de ciberseguridad.
