Los seres humanos son una especie naturalmente cooperativa. Nos sentimos a gusto colaborando con otros y trabajando juntos en proyectos exitosos. Esta cooperación, este sentimiento de unión, ayuda a construir sociedades más sólidas y que funcionan mejor.
Aunar esfuerzos, en una misma dirección, también es algo que puede ayudar a construir una organización cibersegura. Sin embargo, hacer que todos entiendan que esta responsabilidad compartida es la realidad del control de las amenazas de ciberseguridad de hoy en día es otra cuestión.
Para llegar a un punto en el que podamos hacer frente a la creciente avalancha de ciberataques, una empresa necesita inculcar el sentido de que la ciberseguridad es responsabilidad de todos. Sin embargo, la forma de hacerlo realidad requiere cierta reflexión y preparación.
La ciberseguridad es algo más que tecnología
Los atacantes de seguridad buscan un camino fácil; después de todo, ¿por qué complicarse la vida? El "viaje fácil" se presenta en forma de escenarios de ataques de ciberseguridad que utilizan a un ser humano, normalmente un empleado o socio comercial, para abrir la puerta de la red corporativa.
Normalmente, los ciberdelincuentes utilizan técnicas de ingeniería social y phishing para entrar en la red, y una vez dentro, los ciberatacantes pueden darse un festín de datos, instalar ransomware y causar estragos en general.
Los investigadores de la Universidad de Stanford descubrieron que el 88% de las violaciones de la seguridad tenían un elemento de error humano, ya que los empleados a menudo no están dispuestos a admitir sus errores. El informe también identificó a los correos electrónicos de phishing como la causa del 25% de las violaciones, con estafas de phishing que atraen a los empleados utilizando ingeniería social y trucos psicológicos para manipular el comportamiento.
Para agravar el éxito del elemento humano en los ciberataques, se ha demostrado que las herramientas de seguridad tradicionales, como el software antivirus, sólo son eficaces en un 50% para detectar las amenazas. Este doble golpe de la ingeniería social, unido a unas tecnologías de seguridad con una eficacia inferior al 100%, ha llevado a los equipos de TI a comprender que necesitan un enfoque más holístico para proteger los recursos.
En cambio, los profesionales de la seguridad saben que para hacer frente a los ciberataques deben incorporar una combinación de formación en materia de concienciación sobre la seguridad y medidas tecnológicas dirigidas por una sólida aplicación de las políticas.
En última instancia, todos los miembros de una organización tienen un papel que desempeñar para crear una capa de protección contra los ciberataques. El uso de cinco valores fundamentales ayuda a consolidar la responsabilidad de todos en una empresa.
Crear una mentalidad de ciberseguridad responsable a través de cinco valores fundamentales
Reconocer que la ciberseguridad es responsabilidad de todos y que los empleados son una parte crucial de una estrategia eficaz de ciberseguridad conduce al concepto de cortafuegos humano. Se trata de una idea que se basa en permitir a los empleados actuar como un escudo contra las ciberamenazas centradas en el ser humano.
Los empleados son un objetivo de los ciberdelincuentes que buscan formas fáciles de entrar en una organización. La responsabilidad efectiva y procesable requiere las herramientas de protección contra los ataques que se centran en los empleados; un empleado empoderado reduce la probabilidad de un ataque exitoso.
Construir un sólido cortafuegos humano requiere un cambio de mentalidad. Este cambio de mentalidad crea una cultura de ciberseguridad, basada en una buena educación en materia de seguridad y en herramientas y medidas que proporcionan a los empleados y a otras personas que no son empleados los medios para ayudar a detectar y atajar el phishing y otras estafas como el Business Email Compromise (BEC).
Esta mentalidad de "la seguridad es lo primero" es defendida por el Instituto Nacional de Normas y Tecnología (NIST). Una publicación del NIST de 2018 "La seguridad es tarea de todos" establece cinco valores fundamentales que se utilizan para crear una cultura de ciberseguridad que el NIST considera "crítica" para una postura de ciberseguridad exitosa:
Valor fundamental uno - Mentalidad
El NIST afirma que la cultura de la ciberseguridad es fundamental para imbuir a toda la organización de una mentalidad que dé prioridad a la seguridad. Esta piedra angular de la seguridad empresarial sienta las bases para mejorar la seguridad mediante la concienciación sobre los trucos y las estafas que conducen a la exposición de los datos, el ransomware y otras violaciones de la seguridad.
Segundo valor fundamental: el liderazgo
El tono de la responsabilidad en materia de seguridad debe provenir de la cúpula de la empresa para fomentar e imponer la mentalidad de seguridad necesaria para frustrar los ciberataques.
Este liderazgo descendente en materia de seguridad se está formalizando, ya que Gartner, Inc. predice que "para 2025, el 40% de los consejos de administración tendrán un comité de ciberseguridad dedicado supervisado por un miembro cualificado del consejo". Los líderes deben predicar con el ejemplo, y actuar para influir y modelar los buenos hábitos de seguridad.
Tercer valor fundamental - Formación y concienciación
El NIST reconoce que uno de los pilares fundamentales de una organización segura es la formación en materia de seguridad. Al educar a los empleados sobre los trucos de ingeniería social y entrenarlos para detectar los correos electrónicos de phishing, los empleados pueden "cerrar la puerta de la ciberamenaza" en la cara del ciberdelincuente.
Valor fundamental cuatro - Gestión del rendimiento
Los objetivos de la organización deben alinearse con los objetivos de rendimiento individual. El NIST sugiere el uso de incentivos y desincentivos para ayudar a modificar los comportamientos deficientes en materia de ciberseguridad.
Valor fundamental cinco: refuerzo técnico y político
Las medidas técnicas, como la autenticación multifactorial (MFA) y las políticas de contraseñas, deben utilizarse para aumentar y aplicar una buena higiene de seguridad.
Ciberseguridad a través de la ciberresponsabilidad
La ciberseguridad es responsabilidad de todos. Pero cuando se responsabiliza a alguien de algo, hay que darle las herramientas necesarias para que actúe en función de esa responsabilidad.
Para comenzar el proceso de convertirse en una organización ciberresponsable, una empresa debe crear una cultura en la que la seguridad sea algo natural. Los seres humanos son cooperativos por naturaleza, y el sentido de la responsabilidad puede cultivarse mediante la aplicación de los cinco valores fundamentales del NIST, como se muestra más arriba.
Estos valores le permiten subrayar e imponer el sentido de la responsabilidad en materia de ciberseguridad y proporcionar a los empleados los medios para cumplir con esa responsabilidad y actuar como una fuerza combinada contra los ataques de ingeniería social.
