Opinión | El factor humano, clave para evitar riesgos de ciberseguridad

En muchos casos, la actividad de un empleado puede llegar a ser más peligrosa para la empresa que un ciberataque externo – el teletrabajo aumenta el riesgo.

Los empleados de todo tipo de empresas acceden cada semana a 59 páginas web potencialmente peligrosas, lo que equivale a 8,5 URLs al día, según un estudio de NetMotion. Esto supone que, con una jornada laboral de 8 horas, estas personas entran en webs peligrosas más de una vez cada hora. Todo dependerá de los conocimientos en ciberseguridad de cada uno de ellos, pero en muchos casos la actividad de un empleado puede llegar a tener más peligro para la empresa que un ciberataque externo. Un peligro que puede crecer si se trabaja de forma remota.

Según un estudio de Bitdefender en el que se recogen las opiniones de 6.724 profesionales de TI de todo el mundo, el 86% de las empresas está de acuerdo en que los ciberataques han aumentado durante la pandemia del COVID-19. Para más de un tercio de los encuestados (34%) la principal preocupación es que la falsa sensación de seguridad y privacidad que ofrecen los hogares hace bajar la guardia a los trabajadores. También temen (33%) que los empleados puedan volverse más perezosos a la hora de alertar a sus empresas sobre posibles amenazas o actividades sospechosas, o que puedan facilitar de forma involuntaria alguna fuga de datos (31%). Además, si tenemos en cuenta que los ataques relacionados con Internet de las Cosas (IoT) también han aumentado durante esta crisis un 38%, están claros los peligros que plantean los dispositivos inteligentes ubicados en la misma red que los ordenadores portátiles corporativos.

Los cibercriminales apuestan cada vez más por el factor humano

Durante la actual pandemia, los ataques más comunes han sido las campañas de phishing y whaling, en las que los ciberdelincuentes han aprovechado los miedos y la necesidad de información de los ciudadanos, basando sus ataques en los errores humanos. 

Esto no es algo nuevo. Los ciberdelincuentes han aprovechado con éxito durante años los fallos en la psicología humana en los esquemas de ingeniería social. En la actualidad, el auge de las redes sociales y las noticias falsas, unido a la pandemia, ha provocado que sea más fácil que nunca ser víctima de una estafa. En este contexto, han aumentado los correos electrónicos de phishing que utilizan nuestros temores relacionados con el COVID-19 como cebo. Son los correos que ofrecen kits de prueba, equipos de protección baratos, información clave sobre vacunas, etc.

Estos tiempos tumultuosos requieren un nuevo enfoque para la ciberseguridad. Y cada vez está más claro que este cambio debe comenzar en el corazón del problema, que es el factor humano.

Análisis del riesgo humano

Lograr el equilibrio adecuado entre productividad y seguridad en una organización genera tensiones. Los empleados se sienten abrumados debido a la complejidad y al ritmo de los cambios, por lo que recurren a menudo a formas poco ortodoxas de hacer su trabajo, eludiendo los protocolos de seguridad establecidos.

Los entornos de trabajo remoto reducen los sistemas de control que tiene la organización sobre el comportamiento de los empleados (menos controles de seguridad de la red, sin controles físicos, etc.). Esto otorga un mayor nivel de responsabilidad a los usuarios (a qué redes se conectan, quién tiene acceso físico a sus dispositivos, etc.). Ajustar los controles de seguridad y las restricciones en los endpoints puede parecer la mejor opción, pero también hay que tener en cuenta el equilibrio entre productividad, control y frustraciones del usuario.

Para abordar este problema, los profesionales de ciberseguridad han ideado una forma de hacer frente al error humano de manera rápida y eficiente. Se trata de soluciones de seguridad que incorporan el análisis del riesgo humano, que evalúan los distintos riesgos y les otorgan diferentes puntuaciones, lo que permite a los responsables de seguridad identificar los sistemas y usuarios con mayor exposición al riesgo y, en consecuencia, tomar medidas precisas para mitigarlo sin necesidad de imponer restricciones indiscriminadas a todo el entorno. Esto permite que los administradores de TI actúen con una gran precisión, aumenten los controles de seguridad cuándo y dónde se requieran, e incluso lleven a cabo capacitaciones para los empleados que necesitan comprender mejor la seguridad corporativa.

De esta forma, equipados con un motor de análisis de riesgos, los administradores de TI pueden recibir alertas oportunas cuando, por ejemplo:

— Un empleado acceda a demasiados sitios de riesgo en un periodo de tiempo determinado.

— Un usuario se infecte después de acceder a recursos en la web.

— Un usuario tienda a infectarse con malware regularmente.

Un usuario olvide periódicamente renovar sus credenciales de acceso o no cumpla con las prácticas estándar de ciberseguridad.

Con una integración más sólida entre la evaluación y los controles de seguridad, los administradores de TI pueden alternar entre la mitigación automatizada y semiautomatizada, aumentar el enfoque de monitorización en acciones de riesgo individuales y desplegar automáticamente acciones de capacitación de conciencia de seguridad en el momento y lugar que se necesiten.

El primer paso para lograr una postura sólida de ciberseguridad en las empresas consiste, sin duda, en reducir las acciones de los usuarios que generan riesgos.

Por Juan Grau, Regional Sales Manager de Bitdefender en España


Contacto | Diario TI es una publicación de MPA Publishing International Ltd.