Un estudio tras otro demuestra que el ser humano en la máquina aumenta el riesgo de ciberseguridad. Las investigaciones de la Universidad de Stanford y de Tessian lo confirman, al constatar que el 88% de las violaciones de datos están causadas por errores de los empleados. Pero, incluso sin pruebas estadísticas, las organizaciones tienen pruebas anecdóticas de que el factor humano está detrás de muchas violaciones de datos y otros incidentes de seguridad. Para reducir el riesgo de las filtraciones de datos, hay que reducir el riesgo de los empleados y de los no empleados.
Esta es una guía sobre el tipo de riesgos que los humanos añaden a una organización y algunas ideas sobre cómo reducir el riesgo humano.
Errar es humano
Definir lo que significa "error humano" es importante para saber cómo minimizar el riesgo de un error de seguridad relacionado con el ser humano.
El error humano puede clasificarse en dos áreas:
Supervisiones
Los fallos y errores ocurren, y cuando lo hacen, la amenaza para una organización aumenta. Un ejemplo típico de descuido es el de un empleado que envía accidentalmente un correo electrónico con información sensible a la persona equivocada, es decir, el envío erróneo de un correo electrónico.
Otro ejemplo de descuido es la mala configuración de un componente de la nube, como una base de datos. Otro es pensar que está bien compartir una contraseña con un colega. Los descuidos cubren el área general del mal manejo de los datos sensibles por parte de los empleados, que puede llevar al incumplimiento, las multas y la pérdida de confianza de los clientes.
Engaño
Las estafas de ingeniería social aumentan el riesgo humano en una organización. Las estafas de ingeniería social, como los correos electrónicos de phishing que contienen archivos adjuntos o enlaces maliciosos, pueden aumentar el riesgo humano en una organización.
Otro ejemplo de un empleado engañado por un actor malicioso es el Business Email Compromise (BEC), una estafa por la que un ciberdelincuente engaña a los empleados para que paguen facturas fraudulentas. Tanto si un empleado es engañado como si comete un error sin querer, el resultado puede ser catastrófico. El informe de la unidad de delitos en Internet del FBI, IC3, sobre los delitos BEC, por ejemplo, encontró que las pérdidas debidas a BEC en 2020 ascendieron a 1.800 millones de dólares.
5 trucos humanos que pueden ayudar a minimizar el riesgo humano
Los factores de riesgo relacionados con el ser humano pueden mitigarse aplicando cinco hacks humanos que reducen el riesgo de ciberseguridad:
1) Romper el ciclo del clic
La interfaz de usuario (UI) y la experiencia de usuario (UX) están diseñadas para facilitar al máximo el uso del ordenador. El cáliz de oro es la experiencia de "un solo clic" y, siempre que es posible, los diseñadores de UI trabajan con diligencia para lograr este objetivo.
Por desgracia, esto significa que los empleados y otros usuarios acaban por no pensar antes de hacer clic, ya que su condicionamiento UI/UX entra en acción. MetaCompliance exploró recientemente el tema de la respuesta automática al clic en otro post "Ataques de phishing: ¿Por qué no pensamos antes de hacer clic?", en el que recomendamos el uso de pruebas de phishing controladas para cambiar el comportamiento de los empleados al hacer clic.
2) Construir una cultura de seguridad
El riesgo cibernético es asunto de todos. A la hora de crear una cultura de ciberseguridad, hay que centrarse claramente en las áreas que aumentan el riesgo en una empresa o un proceso, siendo conscientes de que puede haber niveles de riesgo diferentes o variados según el departamento o incluso el empleado. Los ejercicios de creación de una cultura de ciberseguridad deben reflejar las necesidades granulares de una empresa, y al crear una cultura de concienciación sobre la ciberseguridad, se puede ayudar a reducir el riesgo mediante el conocimiento.
3) Ayudar a tomar mejores decisiones
Muchos de los errores humanos que conducen a un mayor riesgo cibernético son simplemente un mal juicio. El error humano abarca una amplia gama de cuestiones que conducen a la exposición de datos y otros incidentes de seguridad. A veces, se trata simplemente de no tener la información a mano para tomar una buena decisión. Y otras veces, se trata de establecer estructuras para que no se pueda tomar una decisión equivocada. La higiene de la seguridad es un ejemplo de ello.
Un estudio de Yubico reveló que el 69% de los empleados comparten sus contraseñas para facilitar el acceso a sus cuentas. Para reducir el riesgo del factor humano en el trabajo, enseñe al personal la importancia de no compartir las contraseñas y respáldelo imponiendo el uso del segundo factor de autenticación (2FA) en todas las aplicaciones que lo admitan.
4) Ciberhigiene para reducir el riesgo de error humano
Enseñar a los empleados sobre la ciber-higiene añade peso a las cuestiones de higiene de la seguridad mencionadas anteriormente. La ciberhigiene cubre una serie de áreas e incluye una política de escritorio limpio que se puede hacer cumplir. Las mejores prácticas de ciberhigiene minimizarán los riesgos de seguridad en línea y mantendrán los sistemas informáticos en buen estado. También contribuirá al cumplimiento de normas de seguridad como la ISO27001.
La práctica de la ciberhigiene se extiende de los empleados a una atención general a la atención de los sistemas informáticos; esto incluye el uso de herramientas apropiadas para supervisar las amenazas potenciales, asegurándose de que los certificados digitales están actualizados, que los parches se despliegan rápidamente, etc. Las buenas prácticas de ciberhigiene implican garantizar que cualquier error humano en la configuración de los sistemas o en los procesos empresariales se detecte antes de ser explotado.
5) Haga que las personas formen parte de su enfoque de seguridad por capas
Los empleados son a menudo la fuente de un aumento del riesgo cibernético, pero también es donde una organización puede reducir el riesgo del factor humano. Al garantizar que los empleados y los no empleados formen parte de un enfoque de ciberseguridad por capas, su empresa puede garantizar la reducción holística del riesgo de "personas, procesos y tecnología".
Al involucrar a todo el personal en la formación, desde el director general hasta el más reciente, se cubren todas las lagunas en las que pueden filtrarse datos o en las que pueden producirse percances de seguridad.
Reducir el riesgo de los nacimientos humanos
Los empleados son humanos, y los seres humanos cometen errores o pueden ser manipulados socialmente por los ciberdelincuentes. Unos empleados informados y comprometidos pueden ayudar a superar el riesgo humano en una organización. Una estrategia de seguridad clara que abarque a las personas, los procesos y la tecnología, reducirá el riesgo del factor humano en cualquier organización. Esta estrategia debería emplear programas de formación en seguridad para ayudar a crear una cultura de seguridad que permita a su personal ser la primera línea de defensa contra los errores y la manipulación.