Cargando...
Estás aquí:  Inicio  >  Opinión  >  Gestión  >  Artículo actual

El factor humano, la clave para evitar riesgos de ciberseguridad

Por   /   29 enero, 2021  /   Sin Comentarios

Por Juan Grau, Regional Sales Manager en España de de este tipo , Multinacional proveedora de tecnología de seguridad informática.

 

Los empleados de todo tipo de empresas acceden cada semana a 59 páginas web potencialmente peligrosas, lo que equivale a 8,5 URLs de este tipo al día por cada uno, según un estudio de NetMotion. Esto supone que, en una jornada laboral de 8 horas, estas personas entran en webs peligrosas más de una vez cada hora. Desde luego, todo dependerá de los conocimientos en ciberseguridad de cada uno de ellos, pero en muchos casos la actividad de un empleado puede llegar a tener más peligro para la empresa que un ciberataque externo. El factor humano en el teletrabajo, de PixabayUn peligro que puede crecer si se trabaja de forma remota.

En esa línea, es preciso reseñar que, en concreto, según un reciente informe de Bitdefender, en el que se recogen las opiniones de 6.724 profesionales de TI de todo el mundo, el 86% de las empresas está de acuerdo en que los ciberataques han aumentado durante la pandemia del Covid-19. Y es que, para un 34% de los encuestados, la principal preocupación es que la falsa sensación de seguridad y privacidad que ofrecen los hogares hace bajar la guardia a los trabajadores. Además, un 33% incide en que también temen que los empleados puedan volverse más perezosos a la hora de alertar a sus empresas sobre posibles amenazas o actividades sospechosas, o que puedan facilitar de forma involuntaria alguna fuga de datos (31%).

Si a lo anterior se añade que los ataques relacionados con Internet de las Cosas (IoT) también han aumentado un 38% durante esta crisis, parece que quedan claros los peligros que plantean los dispositivos inteligentes ubicados en la misma red que los ordenadores portátiles corporativos.

Los cibercriminales apuestan cada vez más por el factor humano

Lo cierto es que, durante la actual pandemia, los ataques más comunes han sido las campañas de “phishing” y “whaling”, en las que los ciberdelincuentes han aprovechado los miedos y la necesidad de información de los ciudadanos, basando sus ataques en los errores humanos.

Esto no es algo nuevo, ya que los ciberdelincuentes han aprovechado con éxito durante años los fallos en la psicología humana en los esquemas de ingeniería social. Pero en la actualidad, el auge de las redes sociales y las noticias falsas, unidos a la pandemia, ha provocado que sea más fácil que nunca ser víctima de una estafa. Y en este contexto han aumentado los correos electrónicos de “phishing” que utilizan nuestros temores relacionados precisamente con el coronavirus como cebo. Son correos que ofrecen kits de prueba, equipos de protección baratos, información clave sobre vacunas, etc.

Frente a todo ello, la realidad es que estos tiempos tumultuosos requieren un nuevo enfoque para la ciberseguridad. Y cada vez está más claro que este cambio debe comenzar en el corazón del problema, que es el factor humano.

Análisis del riesgo humano

Lograr el equilibrio adecuado entre productividad y seguridad en una organización genera tensiones. Hay que tener en cuenta que los empleados se sienten abrumados debido a la complejidad y al ritmo de los cambios, por lo que recurren a menudo a formas poco ortodoxas de hacer su trabajo, eludiendo los protocolos de seguridad establecidos.

Ya de por sí los entornos de trabajo remoto reducen los sistemas de control que tiene la organización sobre el comportamiento de los empleados (menos controles de seguridad de la red, sin controles físicos, etc.). Y esto otorga un mayor nivel de responsabilidad a los usuarios (a qué redes se conectan, quién tiene acceso físico a sus dispositivos, etc.). Así, ajustar los controles de seguridad y las restricciones en los “endpoints” puede parecer la mejor opción, pero también hay que tener en cuenta el equilibrio entre productividad, control y frustraciones del usuario.

Para abordar este problema, los profesionales de ciberseguridad han ideado una forma de hacer frente al error humano de manera rápida y eficiente. Se trata de soluciones de seguridad que incorporan el análisis del riesgo humano, que evalúan los distintos riesgos y les otorgan diferentes puntuaciones, lo que permite a los responsables de seguridad identificar los sistemas y usuarios con mayor exposición al riesgo y, en consecuencia, tomar medidas precisas para mitigarlo sin necesidad de imponer restricciones indiscriminadas a todo el entorno. Esto permite que los administradores de TI actúen con una gran precisión, aumenten los controles de seguridad cuándo y dónde se requieran, e incluso lleven a cabo capacitaciones para los empleados que necesitan comprender mejor la seguridad corporativa. Equipados con un motor de análisis de riesgos, los administradores de TI pueden recibir en concreto alertas oportunas cuando, por ejemplo:

• Un empleado acceda a demasiados sitios de riesgo en un periodo de tiempo determinado.
• Un usuario se infecte después de acceder a recursos en la web.
• Un usuario tienda a infectarse con malware regularmente.
• Un usuario olvide periódicamente renovar sus credenciales de acceso o no cumpla con las prácticas estándar de ciberseguridad.

Con una integración más sólida entre la evaluación y los controles de seguridad, los administradores de TI pueden alternar entre la mitigación automatizada y semiautomatizada, aumentar el enfoque de monitorización en acciones de riesgo individuales y desplegar automáticamente acciones de capacitación de conciencia de seguridad en el momento y lugar que se necesiten.

Y es que el primer paso para lograr una postura sólida de ciberseguridad en las empresas consiste, sin duda, en reducir las acciones de los usuarios que generan riesgos.

    Print       Email

Sobre el autor

Tras casi 35 años posicionada como la principal revista económica especializada en gestión y management, y habida cuenta de los nuevos modos y necesidades de sus habituales lectores (directivos, emprendedores y empresarios en un 90% de los casos), NUEVA EMPRESA lleva apostando desde principios de 2009 por el mercado digital, convirtiendo la Web en el principal punto de nuestra estrategia, dejando la edición en papel exclusivamente destinada a números especiales sin una periodicidad estipulada.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *