Opini贸n | El factor humano, clave para evitar riesgos de ciberseguridad

En muchos casos, la actividad de un empleado puede llegar a ser m谩s peligrosa para la empresa que un ciberataque externo – el teletrabajo aumenta el riesgo.

Los empleados de todo tipo de empresas acceden cada semana a 59 p谩ginas web potencialmente peligrosas, lo que equivale a 8,5 URLs al d铆a, seg煤n un estudio de NetMotion. Esto supone que, con una jornada laboral de 8 horas, estas personas entran en webs peligrosas m谩s de una vez cada hora. Todo depender谩 de los conocimientos en ciberseguridad de cada uno de ellos, pero en muchos casos la actividad de un empleado puede llegar a tener m谩s peligro para la empresa que un ciberataque externo. Un peligro que puede crecer si se trabaja de forma remota.

Seg煤n un estudio de Bitdefender en el que se recogen las opiniones de 6.724 profesionales de TI de todo el mundo, el 86% de las empresas est谩 de acuerdo en que los ciberataques han aumentado durante la pandemia del COVID-19. Para m谩s de un tercio de los encuestados (34%) la principal preocupaci贸n es que la falsa sensaci贸n de seguridad y privacidad que ofrecen los hogares hace bajar la guardia a los trabajadores. Tambi茅n temen (33%) que los empleados puedan volverse m谩s perezosos a la hora de alertar a sus empresas sobre posibles amenazas o actividades sospechosas, o que puedan facilitar de forma involuntaria alguna fuga de datos (31%). Adem谩s, si tenemos en cuenta que los ataques relacionados con Internet de las Cosas (IoT) tambi茅n han aumentado durante esta crisis un 38%, est谩n claros los peligros que plantean los dispositivos inteligentes ubicados en la misma red que los ordenadores port谩tiles corporativos.

Los cibercriminales apuestan cada vez m谩s por el factor humano

Durante la actual pandemia, los ataques m谩s comunes han sido las campa帽as de phishing y whaling, en las que los ciberdelincuentes han aprovechado los miedos y la necesidad de informaci贸n de los ciudadanos, basando sus ataques en los errores humanos. 

Esto no es algo nuevo. Los ciberdelincuentes han aprovechado con 茅xito durante a帽os los fallos en la psicolog铆a humana en los esquemas de ingenier铆a social. En la actualidad, el auge de las redes sociales y las noticias falsas, unido a la pandemia, ha provocado que sea m谩s f谩cil que nunca ser v铆ctima de una estafa. En este contexto, han aumentado los correos electr贸nicos de phishing que utilizan nuestros temores relacionados con el COVID-19 como cebo. Son los correos que ofrecen kits de prueba, equipos de protecci贸n baratos, informaci贸n clave sobre vacunas, etc.

Estos tiempos tumultuosos requieren un nuevo enfoque para la ciberseguridad. Y cada vez est谩 m谩s claro que este cambio debe comenzar en el coraz贸n del problema, que es el factor humano.

An谩lisis del riesgo humano

Lograr el equilibrio adecuado entre productividad y seguridad en una organizaci贸n genera tensiones. Los empleados se sienten abrumados debido a la complejidad y al ritmo de los cambios, por lo que recurren a menudo a formas poco ortodoxas de hacer su trabajo, eludiendo los protocolos de seguridad establecidos.

Los entornos de trabajo remoto reducen los sistemas de control que tiene la organizaci贸n sobre el comportamiento de los empleados (menos controles de seguridad de la red, sin controles f铆sicos, etc.). Esto otorga un mayor nivel de responsabilidad a los usuarios (a qu茅 redes se conectan, qui茅n tiene acceso f铆sico a sus dispositivos, etc.). Ajustar los controles de seguridad y las restricciones en los endpoints puede parecer la mejor opci贸n, pero tambi茅n hay que tener en cuenta el equilibrio entre productividad, control y frustraciones del usuario.

Para abordar este problema, los profesionales de ciberseguridad han ideado una forma de hacer frente al error humano de manera r谩pida y eficiente. Se trata de soluciones de seguridad que incorporan el an谩lisis del riesgo humano, que eval煤an los distintos riesgos y les otorgan diferentes puntuaciones, lo que permite a los responsables de seguridad identificar los sistemas y usuarios con mayor exposici贸n al riesgo y, en consecuencia, tomar medidas precisas para mitigarlo sin necesidad de imponer restricciones indiscriminadas a todo el entorno. Esto permite que los administradores de TI act煤en con una gran precisi贸n, aumenten los controles de seguridad cu谩ndo y d贸nde se requieran, e incluso lleven a cabo capacitaciones para los empleados que necesitan comprender mejor la seguridad corporativa.

De esta forma, equipados con un motor de an谩lisis de riesgos, los administradores de TI pueden recibir alertas oportunas cuando, por ejemplo:

— Un empleado acceda a demasiados sitios de riesgo en un periodo de tiempo determinado.

— Un usuario se infecte despu茅s de acceder a recursos en la web.

— Un usuario tienda a infectarse con malware regularmente.

Un usuario olvide peri贸dicamente renovar sus credenciales de acceso o no cumpla con las pr谩cticas est谩ndar de ciberseguridad.

Con una integraci贸n m谩s s贸lida entre la evaluaci贸n y los controles de seguridad, los administradores de TI pueden alternar entre la mitigaci贸n automatizada y semiautomatizada, aumentar el enfoque de monitorizaci贸n en acciones de riesgo individuales y desplegar autom谩ticamente acciones de capacitaci贸n de conciencia de seguridad en el momento y lugar que se necesiten.

El primer paso para lograr una postura s贸lida de ciberseguridad en las empresas consiste, sin duda, en reducir las acciones de los usuarios que generan riesgos.

Por Juan Grau, Regional Sales Manager de Bitdefender en Espa帽a




Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.