En un contexto de ciberseguridad cambiante, las empresas e instituciones de todo el mundo siguen trabajando por perfeccionar sus técnicas, invirtiendo importantes sumas de dinero y tiempo en conseguir tener sistemas eficaces y ajenos a la irrupción de los ciberdelincuentes. El problema está cuando son los propios usuarios quienes cometen los errores y dejan la puerta abierta a los ciberdelincuentes.

Tomando como referencia un estudio de IBM, contrastado por los datos del reporte del Foro Económico Mundial, se concluye que el 95% de los incidentes de ciberseguridad son el resultado de errores humanos. De ahí que quede demostrado que sigue siendo el eslabón más débil en materia de defensa activa.

Dentro de los proyectos estratégicos del Instituto Nacional de Ciberseguridad de España (INCIBE), se recoge que el factor humano se convierte en una vía de entrada a los ataques, por lo que es necesario seguir una serie de planes y recomendaciones para poder contrarrestarlos.

Los errores humanos más comunes

Parece una obviedad, pero fundamentalmente es como consecuencia de usar contraseñas débiles y compartirlas o almacenarlas incorrectamente. También por el uso de software no autorizado, es decir, instalando aplicaciones sin la aprobación del departamento de tecnología informática, las cuales pueden comprometer la seguridad de la organización.

En base a lo anterior, puede suceder el descuido de olvidar actualizar el software, quedando susceptible a la explotación por parte de los ciberdelincuentes, así como el envío de información sensible por correo electrónico. La seguridad física es otro factor importante, pues será fundamental ni descuidar los portátiles ni desechar incorrectamente documentos sensibles.

Los descuidos van de la mano del uso no autorizado de dispositivos a la red, ya fuesen unidades de USB o dispositivos personales con programas maliciosos que sirviesen como punto de entrada a los atacantes. Si se fija una configuración incorrecta de los ajustes de seguridad, se crearán unas vulnerabilidades por explotar por parte de los atacantes.

En la gran mayoría de los casos, los usuarios desconocen los ataques de phishing y suelen caer en el cebo que ponen los atacantes que se hacen pasar por entidades confiables y envían comunicaciones legítimas a partir de la suplantación de identidad, la creación de webs falsas e incluso el uso de mensajes persuasivos y urgentes que buscan generar una respuesta rápida de la víctima.

Falta formación por parte del personal y conocimiento de ingeniería social. El miedo, la curiosidad o la falta de razón pueden manipular emocionalmente a las víctimas y que éstas lleguen a comprometer la seguridad.

Recomendaciones para prevenir los errores del factor humano

Es importante, tanto a título personal como colectivo, que se sigan una serie de prácticas eficientes para mitigar los sesgos asociados a las vulnerabilidades humanas. Para ello, existen estrategias muy eficaces.

La principal, sin duda, debe ser fomentar una cultura de conciencia de seguridad dentro de la organización, estableciendo políticas y procedimientos claros, así como capacitando de manera continua a los usuarios.

La formación en los entornos laborales debe ser atractiva y relevante. De este modo, habrá que educarlos en buscar las mejores prácticas de seguridad y que conozcan, de primera mano, las consecuencias sociales y económicas de una determinada acción. Para ello, es fundamental formarlos en los temas básicos de seguridad (uso de email, de redes sociales, formación en malware y phishing, etc.). En cualquier caso, la formación deberá actualizarse en base a las circunstancias del contexto.

También resulta fundamental fijar políticas de contraseñas fuertes, es decir, una serie de credenciales sólidas que además fuesen de la mano de la autenticación multifactorial.

No hay que olvidar que, según datos del Informe 2019 del Centro Nacional de Ciberseguridad, la contraseña ‘123456’ sigue siendo la más popular del mundo y la empleada por el 45% de las personas para su cuenta de correo electrónico principal y otros servicios. Eso se suma al error de dejarlas apuntadas en notas adhesivas en sus monitores o compartirlas con sus compañeros de trabajo.

En otro orden, uno de los métodos más eficaces para garantizar la seguridad es fomentar la conversación. De este modo, si se plantean preguntas y debates en torno a la seguridad en las actividades laborales cotidianas de los usuarios, se comprobará cómo se implican en la seguridad final de la empresa.

Pero de nada servirá cambiar la cultura empresarial si, a la hora de la verdad, no se transforman las prácticas de trabajo. Existen una serie de consejos básicos comunes para mitigar las oportunidades de error humano. En este sentido, controlar los privilegios será fundamental, pues así los usuarios solo podrán acceder a aquellos datos y funcionalidades esenciales de su día a día. Y si se comete un error, que no perjudiquen al conjunto de la empresa.

Muchas empresas optan por utilizar carteles y recordatorios sobre consejos de ciberseguridad, garantizando que los usuarios finales piensen en ello durante su jornada laboral. Un póster con información sobre contraseñas seguras les facilitará la gestión diaria.

 

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre