“Los cibercriminales se han convertido en expertos en habilidades de ingeniería social y en engañar a los empleados para que hagan clic en enlaces maliciosos que inician ataques”. Una vez más, no lo dice El Telescopio, lo dice la consultora Gartner, que añade que en el 85% de las brechas de datos, el elemento humano está involucrado.
Es decir, el papel de las personas de una plantilla, es en la mayoría de los casos la pieza fundamental. Por eso, Gartner ha identificado tres pasos para evitar esos ataques y “convertir a los empleados en activos de ciberseguridad”.
La situación se agrava por las políticas confusas y el mayor uso de dispositivos personales
Entorno cada vez más complejo
Sin embargo, “aunque quienes lideran la gestión de la seguridad y el riesgo saben que la ingeniería social es clave, muchos tienen problemas para evitar que los empleados muerdan el anzuelo”.
Una situación que se ha visto agudizada por el incremento del teletrabajo, porque las personas “se enfrentan a políticas de seguridad confusas”, a lo que se une “un mayor uso de dispositivos personales y redes domésticas”.
Las personas conocen los riesgos, pero no cambian los comportamientos
Cambiar comportamientos: la formación en ciberseguridad
De su análisis se desprende que las iniciativas de las organizaciones para incrementar el conocimiento de los riesgos por parte de su plantilla no consiguen que se cambien los comportamientos.
Aseguran, que la formación en ciberseguridad se centra más en cumplir, que en modificar las conductas. Eso hace que la alta dirección no vea el valor de esas acciones y, por tanto, que se reduzcan los recursos dedicados a ellas.
Para evitarlo, recomiendan crear una lista de comportamientos reales para las personas y medir los resultados obtenidos, no las acciones realizadas. Es decir, traducir la sensibilidad de la plantilla hacia la ciberseguridad en beneficios para el negocio.
Por ejemplo, en lugar de animar a utilizar contraseñas robustas, es mejor mostrar cómo se pueden usar frases para conseguirlo. O, en lugar de “mandar” tener cuidado con la ingeniería social, enseñar a informar de la recepción de correos sospechosos. O, en el caso de la protección de información sensible, identificar soluciones de transmisión de ficheros aprobadas y seguras.
La tecnología y los datos no hacen que las compañías estén tan seguras como pueden creer
Transformación digital para reducir los riesgos de ciberseguridad
En muchos casos, la transformación digital se ha considerado como una palanca para reducir los riesgos. Sin embargo, Gallup considera que “la tecnología y los datos no hacen que las compañías estén tan seguras como pueden creer”. De hecho, consideran que estos cambios pueden incluso generar más riesgos.
Según explican, “toda la tecnología está creada sobre una plataforma humana y cualquier cosa que construyan humanos es vulnerable”. Como muestra, se refieren al reconocimiento facial, un software que “todavía lucha por reconocer a las personas negras como personas”.
Por eso, Gallup coincide en que “la seguridad reposa en el comportamiento humano”. Algo que “la tecnología y los datos no pueden reemplazar completamente. Y, si no sabes qué comportamientos -o qué seres humanos- te exponen al riesgo, la tecnología y los datos no te darán muy buen apoyo”.
Por eso, solo repetir mensajes no es suficiente. Un ejemplo es cómo, a pesar de haber escuchado un millón de veces que no se dejen las claves en las tarjetas de acceso “todos los días alguien lo hace y, muy probablemente, ni siquiera se dan cuenta”. Eso, en lo que se refiere a “decisiones simples”. Por eso, insisten en que “la seguridad de tu compañía depende de las decisiones de tus empleados”.
Los adversarios ahora son organizaciones altamente sofisticadas
Mayor complejidad
La situación cada vez es más compleja, porque como señala McKinsey, “los adversarios ya no se limitan a actores individuales; incluyen a organizaciones altamente sofisticadas que se apoyan en herramientas y capacidades integradas con inteligencia artificial y machine learning”.
Eso significa que “el alcance de la amenaza está creciendo y ninguna organización es inmune. Pequeñas y medianas empresas, ayuntamientos y gobiernos locales y regionales se enfrentan a estos riesgos al igual que las grandes compañías. Incluso los cibercontroles más sofisticados de hoy, por muy eficaces que sean, pronto se quedarán obsoletos.
Por tanto, la clave está en responder a dos preguntas: “¿Estamos preparados para acelerar la digitalización en los próximos tres a cinco años?” y “¿estamos mirando lo suficiente hacia el futuro para comprender las implicaciones que tendrán en el futuro las inversiones en tecnología de hoy?”.
McKinsey coincide en señalar que “los empleados son la vulnerabilidad clave para las organizaciones. Las soluciones analíticas pueden monitorizar atributos como las peticiones de acceso o la salud de los dispositivos y establecer una base para identificar comportamientos de usuario anómalos -intencionados o no- o actividad de dispositivos”.
