©[Towfiqu barbhuiya] via Unsplash.com.

Fernando Anaya Country manager de Proofpoint

Al contrario de lo que muchos creen, en la actualidad la variable más importante de las ciberamenazas no es la tecnología, sino las personas, lo que se denomina como “factor humano”.

Al fin y al cabo, el objetivo de los delincuentes es aprovecharse de dichas personas para conseguir, por ejemplo, un beneficio económico. Abordar elementos como dónde son más vulnerables los usuarios, cómo les atacan los ciberdelincuentes y los daños potenciales cuando se compromete un acceso privilegiado a datos o sistemas es necesario para crear una defensa eficaz y adaptada al ecosistema actual.

Con motivo del décimo aniversario del Mes Europeo de la Ciberseguridad, es oportuno hacer hincapié en cómo hacer más resilientes a las personas para que sean una sólida línea de defensa de sus organizaciones y consigan mitigar cualquier posible ataque. Precisamente, a través de la concienciación en ciberseguridad, los usuarios pueden aprender a reconocer, rechazar y denunciar mensajes o comportamientos sospechosos.

La incidencia del teletrabajo

A raíz del aumento del teletrabajo, se ha producido una mezcla inaudita entre lo profesional y lo personal que afecta de lleno a la ciberseguridad. Según una encuesta global sobre ataques de phishing, casi tres cuartos de los usuarios afirmaron que usaban un dispositivo personal para trabajar, mientras que un 77% accedía a cuentas personales con un dispositivo de empresa. Y lo más preocupante es que un 55 % reconoció haber permitido que amigos y familiares utilicen su ordenador y su teléfono del trabajo. El problema es que los dispositivos personales no suelen tener el mismo nivel de protección que los del trabajo y personas externas a la empresa pueden no usar adecuadamente estos recursos.

El usuario debe ser consciente de los riesgos

En estos casos, la solución depende únicamente del propio usuario, si él no es consciente de los peligros de este tipo de comportamientos, no va a hacer nada para evitarlos, poniendo la seguridad de toda la empresa en juego. No solo el equipo de TI de una compañía se encarga de la ciberseguridad, sino que todos los empleados son vulnerables a los ataques y responsables de sus actos.

Implementar un programa de formación efectivo

Un programa de formación en ciberseguridad eficiente debe estar personalizado para cada empresa, adaptándose además a las vulnerabilidades, funciones y competencias específicas de cada empleado. El objetivo es conseguir una verdadera cultura de seguridad, impulsando cambios reales de comportamiento y generando hábitos sostenibles.

Para instaurar una cultura de concienciación en ciberseguridad y fomentar comportamientos seguros, el primer paso es saber dónde se encuentran las lagunas de conocimientos de los usuarios y del programa de formación, en el caso de tenerlo. En esta fase es útil hacer una evaluación, por ejemplo, con ataques simulados para poder identificar las personas más atacadas, las más vulnerables, sus creencias generales, etc.

El siguiente paso consiste en modificar los comportamientos no seguros con una formación diseñada, según las necesidades de los usuarios, sus áreas de vulnerabilidad y basada en amenazas reales. También es recomendable facilitarles la tarea a los empleados con soluciones de seguridad complementarias que alerten sobre correos electrónicos sospechosos o refuercen los comportamientos positivos, entre otras funcionalidades.

Por último, es importante medir la eficacia del programa de seguridad y determinar los ajustes necesarios para mejorarlo. Se pueden valorar las tasas de precisión de los mensajes reportados como maliciosos por los empleados, las tasas de clic y las tasas de reporte tanto de ataques simulados como reales. Si los CISOs tienen acceso a estos y otros informes en tiempo real y tienen visibilidad de los cambios de comportamiento y las vulnerabilidades de los usuarios, podrán realizar sus funciones de una manera mucho más eficaz y sencilla.

El riesgo de descargar documentos en un USB

Conociendo el papel central que ocupa el “factor humano” en la gran mayoría de los ciberataques actuales, la concienciación de los usuarios ya no debería ser algo en segundo plano. Si los empleados no están suficientemente formados en materia de ciberseguridad, es más probable que actúen de manera negligente, incluso sin ser conscientes de que lo están haciendo. Acciones que pueden parecer inofensivas, como descargar documentos en un USB o enviarlos por email, en realidad pueden suponer un riesgo considerable.

Los empleados tienen que conocer plenamente y aplicar las normas o requisitos relacionados con su actividad: sus dispositivos necesitan estar protegidos, los datos confidenciales no deben enviarse a ubicaciones no seguras, no pueden infringir las políticas de seguridad solo para simplificar sus tareas, deben instalar las últimas versiones de parches y actualizaciones…

Los atacantes siempre están pensando nuevas formas de explotar las vulnerabilidades humanas, y los usuarios necesitan saber identificarlas para poder detenerlas e incluso prevenirlas. No tiene sentido que las herramientas de seguridad de las empresas se limiten a analizar sus ordenadores, redes y sistemas. La principal fuente de riesgo no está en ninguna de estas partes, sino en las personas.

Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.