¿Cuáles de sus empleados tienen más probabilidades de exponer a su empresa a un ciberataque?
por Kon Leong
Harry Haysom/Getty Images
Cuando el poeta Alexander Pope dijo por primera vez «Errar es humano», probablemente no se dio cuenta de lo proféticas que eran esas palabras a la hora de captar el mundo de la ciberseguridad. Sí, la causa principal de la mayoría de las brechas de seguridad se debe a las acciones humanas o a la falta de ellas. Sin embargo, el mayor error es creer que la ciberseguridad se puede lograr simplemente corrigiendo el mal comportamiento.
Hoy en día, la ciberseguridad se ha expandido mucho más allá de su dominio tradicional de amenazas externas, caracterizado por piratas informáticos externos que atacan las vulnerabilidades de la red. Ahora incluye las amenazas internas, que son mucho más complejas y difíciles de gestionar, como lo demuestran algunas infracciones internas recientes muy graves, como las que involucran Eduardo Snowden y Chelsea Manning. La naturaleza de las amenazas internas se puede clasificar en maliciosas, accidentales o negligentes y representan un total del 39% de todas las filtraciones de datos, según investigaciones recientes.
Dado que el comportamiento de los empleados desempeña un papel cada vez más importante en el estado de la ciberseguridad de su organización, he aquí algunas ideas generales sobre el lado humano de la ciberseguridad que pueden ayudar a dar forma al enfoque correcto para su empresa:
Reconsidere la formación de los empleados.
Para las amenazas externas, existe la batería habitual de defensas contra los virus, el malware, la suplantación de identidad y los ataques a la red. Sin embargo, muchas de estas defensas suelen verse comprometidas por un comportamiento humano errante o laxo, lo que hace que la formación de los empleados sea aún más fundamental. En este ámbito, la formación en toda la empresa sobre las mejores prácticas para hacer frente a las últimas amenazas a la seguridad es un enfoque común; lamentablemente, estas directrices suelen pasarse por alto o ignorarse por completo. Además, la nota estándar sobre seguridad a menudo no capta los matices que presentan las amenazas de seguridad más dinámicas, que suelen ser internas. Por ejemplo:
- ¿Cómo diferencia un empleado una conversación de correo electrónico genuina de un cebo de suplantación de identidad?
- ¿Cuándo debe un empleado denunciar la actividad sospechosa de un compañero de trabajo?
- ¿Qué tipos de información se puede y no se puede compartir y con quién?
Para tener un impacto significativo y duradero en el comportamiento de los empleados, las organizaciones deberían considerar la posibilidad de hacer frecuentes y sesiones de formación interactivas. Investigación reciente de el Instituto Ponemon indica que la formación de los empleados está vinculada como el tercer método más eficaz para reducir el coste per cápita de una infracción, justo después del uso extensivo del cifrado y la asignación de un equipo de respuesta a incidentes.
Centro Insight
El elemento humano de la ciberseguridad
Patrocinado por Varonis
Refuerce la primera línea de defensa de su empresa.
Para los usuarios más reacios, se pueden emplear una variedad de técnicas de formación creativas que impliquen la interacción, los comentarios y el debate de los empleados. Por ejemplo, tomemos el método de la gamificación: se podría complementar una presentación sobre ciberseguridad con un juego de detección de actividades sospechosas, que obligue a los empleados a desarrollar habilidades de respuesta. Además, la participación de los empleados en la formación práctica fomenta la aceptación y la responsabilidad.
Cabe señalar que en todos los casos de formación en ciberseguridad, se trata de entrenar, volver a capacitarse y repetir. Con demasiada frecuencia, las organizaciones organizan un solo seminario y luego esperan que sea suficiente. Dada la constante afluencia de nuevos empleados a cualquier organización y el cambio constante de las amenazas a la seguridad, la formación periódica debería ser obligatoria.
Identifique a los usuarios de alto riesgo e intervenga.
El comportamiento humano básico es muy difícil de reprogramar. Por lo tanto, la formación debería aumentarse actualizando constantemente la tecnología, que ahora ha evolucionado para detectar el comportamiento errante. El avance de la tecnología acaba de empezar a resolver lo que parecían ser problemas difíciles de resolver en materia de seguridad y gobierno, y se espera que estas nuevas capacidades, como el análisis predictivo y la inteligencia artificial, supervisen mejor el comportamiento humano e influyan en él. Al emplear un análisis moderno que permite a las organizaciones analizar los documentos en busca de contenido confidencial, revisar las acciones de los usuarios y hacer un seguimiento del flujo de datos en toda la empresa, las partes interesadas en ciberseguridad ahora pueden identificar muchos indicadores comunes de actividad negligente o maliciosa, entre ellos:
- Acceder, mover o eliminar grandes volúmenes de contenido confidencial
- Crear, almacenar o enviar contenido confidencial de forma inapropiada
- Un sentimiento extremadamente negativo hacia la organización en los mensajes
Luego, por supuesto, siempre existe el método de simulación probado y verdadero, como enviar correos electrónicos simulados de suplantación de identidad y ver quién hace clic. Al identificar las señales de un comportamiento de riesgo, las organizaciones pueden organizar una intervención estratégica con los usuarios de alto riesgo o, incluso, atrapar al próximo «Snowden» en progreso. Sin embargo, al aprovechar estas tecnologías, las organizaciones deberían prestar la debida atención a las cuestión de privacidad, que desempeña un papel cada vez más complejo y cambiante en el entorno reglamentario actual.
Diseñe la solución para el usuario humano y no al revés.
Cabe señalar que el sistema perfectamente seguro suele quedar perfectamente inutilizable. Hemos visto muchos casos en los que las mejores intenciones en materia de seguridad se han traducido en una adopción limitada. Por ejemplo, Cifrado de PKI mediante certificados individuales, un método de cifrado que se puede aplicar a los mensajes y otras transacciones y que autentica al destinatario mediante una «clave» digital, puede ofrecer una seguridad granular excelente. Sin embargo, como requiere más pasos por parte del usuario final y el administrador, nunca se adoptó ampliamente. Si la seguridad implica un esfuerzo adicional por parte del usuario final, se hace más difícil conseguir la participación.
Las empresas tienen que interactuar con los usuarios finales para saber qué tan lejos de su camino están dispuestos a ir, siendo realistas, en su actividad diaria para apoyar las iniciativas de ciberseguridad. En otras palabras, evite los protocolos que se basen en que hagan más de lo que realmente harán.
Adáptese constantemente a las amenazas cambiantes.
A medida que las amenazas pasan de centrarse en los piratas informáticos externos y las vulnerabilidades de la red a centrarse en el personal interno y los repositorios de contenido (por ejemplo, el correo electrónico, los archivos compartidos y los sitios de SharePoint), el panorama de la seguridad se hace mucho más complejo.
Afortunadamente, el rápido avance de las tecnologías de contenido facilita la protección de estos repositorios de datos y también aplica una gobernanza y un análisis avanzados para detectar y corregir las conductas de riesgo. Resulta que la llegada de estas tecnologías también aborda otras cuestiones críticas, como aplicar disciplina a lo que actualmente es el acceso desenfrenado a los datos mediante el análisis de datos y cumplir con las nuevas normas de privacidad, como la Reglamento general de protección de datos (GDPR), un nuevo reglamento de datos que exige a nivel mundial mayores requisitos de privacidad para las organizaciones que gestionan datos de residentes en la UE.
Es cierto que errar es humano y los humanos seguirán cometiendo errores. Sin embargo, cada vez más, la tecnología y las prácticas mejoradas pueden ayudarlo a identificar a los empleados que corren mayor riesgo de exponer a su empresa a un ciberataque, antes de que se convierta en un problema importante.
Artículos Relacionados
Investigación: La IA generativa hace que la gente sea más productiva y esté menos motivada
Arreglar los chatbots requiere psicología, no tecnología
Los chatbots dotados de IA se están convirtiendo en el nuevo estándar para la gestión de consultas, reclamaciones y devoluciones de productos, pero los clientes se alejan de las interacciones con los chatbots sintiéndose decepcionados. La mayoría de las empresas intentan solucionar este problema diseñando mejores modelos de IA en sus chatbots, pensando que si los modelos suenan lo suficientemente humanos, el problema acabará desapareciendo. Pero esta suposición es errónea. Esto se debe a que el problema de fondo no es tecnológico. Es psicológico: Hay que engatusar a la gente para que vea a los chatbots como un medio positivo de interacción. Los autores han analizado recientemente las últimas investigaciones sobre chatbots e interacciones IA-humanos, y en este artículo presentan seis acciones probadas que puede llevar a cabo al desplegar su chatbot de IA para impulsar la satisfacción, la percepción positiva de la marca y las ventas.
Investigación: ¿Está penalizando a sus mejores empleados por desconectar?
Para combatir el creciente desgaste del personal, muchas empresas han defendido programas de bienestar y han fomentado un enfoque renovado en el equilibrio entre la vida laboral y personal. Pero un nuevo estudio descubrió que incluso cuando los líderes reconocían que desvincularse del trabajo aumenta el bienestar de los empleados y mejora su rendimiento laboral, los directivos seguían penalizando a los empleados que adoptaban estos comportamientos cuando optaban a un ascenso o estaban siendo considerados para un nuevo puesto. Basándose en sus conclusiones, los investigadores ofrecen sugerencias para ayudar a las empresas a crear políticas y construir una cultura que proteja los límites de los trabajadores, evite el agotamiento y recompense el trabajo fuerte.
