Importancia del factor humano en la ciberseguridad empresarial

Importancia del factor humano en la ciberseguridad empresarial

El factor humano en la ciberseguridad es uno de los elementos más importantes para cualquier empresa y, sin embargo, también uno de los más olvidados. Erróneamente, la mayoría de organizaciones cree que las amenazas de seguridad vienen exclusivamente desde afuera, pero la realidad es que un gran porcentaje de los incidentes provienen de colaboradores desinformados o inconscientes del alcance que pueden tener sus acciones, por pequeñas que parezcan.
No obstante, la mayoría de estos problemas pueden resolverse fomentando una conciencia cibernética e incentivando a las personas a actuar de una manera distinta. No basta con hacer grandes inversiones de ciberseguridad en la infraestructura TI si los usuarios desconocen el importante rol que cumplen en el cuidado de la seguridad de la información.

El error humano y los problemas de ciberseguridad

No hay una sola persona en el mundo que nunca haya cometido algún error, pues cometer errores forma parte de la experiencia humana para crecer y aprender. Sin embargo, en el mundo de la ciberseguridad los errores humanos suelen pasarse por alto y, además, pueden tener consecuencias graves para la organización.
En un estudio, publicado por IBM en 2014, se encontró un dato muy interesante: en más del 95% de los incidentes que investigaron, encontraron que el error humano fue un factor contribuyente. Sí, hay que mencionar que ya han pasado varios años desde que el estudio salió a la luz y seguramente esta cifra ya no es la misma; ahora hay una mayor automatización en los sistemas (que reduce el error humano) y podría decirse también que una mayor concientización cibernética.
Sin embargo, el factor humano sigue incidiendo gravemente en la ciberseguridad empresarial, y esto queda demostrado en el estudio desarrollado por Ponemon Institute (y publicado por IBM en 2020). De 524 empresas que fueron entrevistadas, de un total de 17 países y 17 industrias, se determinó que el 23% de las pérdidas económicas fueron causadas por el error humano, lo que es el equivalente a 3,33 millones de dólares.
Entonces, ¿Cómo podemos mitigar este problema? Principalmente, promoviendo la concientización cibernética en tu organización.

¿Qué es la concientización cibernética de usuarios?

Primero que nada, la conciencia cibernética hace referencia a cuánto saben las personas sobre las amenazas y los riesgos de ciberseguridad y sobre las prácticas ideales de seguridad informática. En general, la conciencia cibernética engloba todos los conocimientos que deberían tener los usuarios de un sistema para evitar comprometer la seguridad de los datos por simple desconocimiento.
Ahora bien, entendiendo que las personas forman parte de las vulnerabilidades y que la inversión en aspectos técnicos no basta para mejorar la seguridad, es importante reducir el riesgo del factor humano en la ciberseguridad a través de la concientización.
La concientización cibernética de usuarios consiste en la formación continua de las personas que hacen vida en una empresa. Esto incluye el entendimiento de las políticas de ciberseguridad, de las amenazas y de cómo podrían prevenir o mitigar los ciberataques. Esta formación es más importante aún en los colaboradores y gerentes que manejan información sensible o que tienen privilegios importantes dentro del sistema.

Haz del personal una parte esencial de tu estrategia de ciberseguridad

El compromiso de las personas con la protección de la organización es un componente esencial para tener una ciberseguridad realmente sólida. Esto significa que parte de las estrategias deben enfocarse específicamente en los aspectos humanos y en el desarrollo de una cultura de ciberseguridad positiva que se evidencie en los comportamientos de los colaboradores y que se refuerce con las acciones de los líderes.
Por tanto, hay que fomentar una cultura basada en la confianza y no en la vigilancia, en donde la seguridad sea concebida como una responsabilidad de todos y no solo de unos pocos expertos de TI. Más que buscar culpables o señalar a alguien en específico, cada experiencia debe servir como oportunidad de aprendizaje.
Haz entender a tus colaboradores que la seguridad es un factor crítico también para ganar la confianza de los clientes, proveedores y socios que comparten datos personales y empresariales con la organización.
Reconoce y responde a las nuevas formas de trabajar. Trabajar desde casa y usar las redes sociales es algo que ha llegado para quedarse, pero es importante que muestres a tus colaboradores la forma en que pueden transferir y manipular información de forma segura.

Brinda capacitaciones de concientización cibernética a todos tus colaboradores

A través de la capacitación permitirás a todos los miembros de tu organización tener un acercamiento con el mundo de la ciberseguridad y con los principales conceptos que deben conocer. Las capacitaciones sirven para que colaboradores de cualquier nivel comprendan los riegos de seguridad informática a los que están expuestos y para que desarrollen formas de mitigarlos.
Es importante que la concientización cibernética cubra todo el espectro de la ciberseguridad, incluyendo lo relacionado con la seguridad de la información y con los riesgos de seguridad. También es indispensable que las personas comprendan lo que es la ingeniería social y sean capaces de evitar caer en este tipo de engaños, algo que es muy frecuente. Además, una capacitación también debe instruir a las personas cómo pueden trabajar desde casa de forma segura para evitar comprometer datos sensibles.
En general, lo realmente importante es fomentar una cultura organizacional en donde el factor humano y la ciberseguridad vayan en una misma dirección.

Marisol Viveros

Marisol Viveros

Ingeniera en Sistemas Computacionales con Maestría en Admnistración de TI en el Tec de Monterrey. Directora Comercial de iDric con más de 10 años de experiencia en las soluciones de la marca de ManageEngine. Certificada en ITIL Foundations y con diplomado en Business Case Development