Los CISO consideran el error humano como su principal riesgo de ciberseguridad
Con la ciberseguridad, la atención se centra a menudo en la tecnología, específicamente, en cómo los ciberdelincuentes la utilizan para llevar a cabo ataques y en las herramientas que las organizaciones pueden utilizar para mantener sus sistemas y datos seguros. Sin embargo, esto pasa por alto el elemento más importante en el riesgo de ciberseguridad: el error humano.
Boletín del sector
Las últimas novedades sobre tecnología, respaldadas por conocimientos de expertos
Manténgase al día sobre las tendencias más importantes e intrigantes del sector en materia de IA, automatización, datos y mucho más con el boletín Think. Consulte la Declaración de privacidad de IBM.
Su suscripción se enviará en inglés. Encontrará un enlace para darse de baja en cada boletín. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.
El informe Proofpoint’s 2024 Voice of the CISO reveló que tres de cada cuatro (74 %) directores de seguridad de la información y ciberseguridad (CISO) dijeron que el error humano era su principal riesgo de ciberseguridad. Esto revela un crecimiento significativo con respecto al 60 % de los CISO del año pasado que expresaron este sentimiento. El estudio también reveló una brecha importante entre los CISO y la junta directiva. Los miembros de la junta tenían menos probabilidades (63 %) de señalar el error humano que los CISO, lo que demuestra que los CISO deberían centrarse en educar tanto a los líderes como a los empleados.
Varias de las principales causas de los eventos de pérdida de datos en la encuesta estaban relacionadas directamente con los empleados. La principal respuesta (42 %) fue el usuario interno malicioso, como por ejemplo que un empleado hiciera un uso indebido de los datos. Otras razones incluían la actuación maliciosa o delictiva de un empleado (36 %), el robo de credenciales de empleados (33 %) y la pérdida o robo de dispositivos (28 %).
El índice de amenazas de IBM 2024 respalda este hallazgo, indicando que el 30 % de los ataques comienzan con phishing. Sin embargo, los ataques de phishing han disminuido desde 2022, tanto en volumen como en vector de ataque inicial. El informe señala la continua adopción y reevaluación de técnicas y estrategias de mitigación del phishing como una de las razones de la reducción.
Si bien es posible que un humano haya cometido el error que provocó la infracción, no es necesariamente culpa de la persona, excepto en el caso de un (usuario) interno criminal. Las organizaciones deben adoptar un enfoque proactivo en la ciberseguridad, que incluye proporcionar formación para que los empleados puedan aprender prácticas seguras y, al mismo tiempo, establecer procesos que reduzcan el riesgo.
Reducir el riesgo de ciberseguridad humana no es sencillo. No se puede lanzar un único programa o formación que solucione el problema. En su lugar, las organizaciones deben adoptar un enfoque holístico que cree una cultura de ciberseguridad y empodere a todos los empleados para que consideren la ciberseguridad como parte de su trabajo.
1. Utilizar herramientas de IA para superar el error humano
Como las herramientas de IA pueden predecir lo que es probable que haga una persona, pueden ser especialmente eficaces a la hora de proteger contra el riesgo humano en materia de ciberseguridad. El informe de Proofpoint descubrió que el 87 % de los CISO globales buscan implementar capacidades con IA para ayudar a protegerse contra errores humanos y ciberamenazas avanzadas centradas en el ser humano.
2. Proporcionar formación integral y continua a los empleados
Aunque muchas empresas ofrecen formación, a menudo se trata de una formación superficial que no cambia realmente el comportamiento ni mantiene la ciberseguridad como prioridad. Al diseñar un programa de formación, adopte un enfoque holístico y considere qué empleados necesitan qué tipo de formación.
Comience por revisar incidentes pasados para determinar qué temas son más importantes, como los empleados que han hecho clic repetidamente en intentos de phishing en el pasado reciente. En lugar de formación anual, las empresas deberían considerar mini módulos mensuales regulares para mantener los temas en mente. Además, incluye formación en ciberseguridad como parte de la incorporación de nuevos empleados para asegurarse de que cada uno de los empleados comience su carrera en su empresa con la misma información.
3. Crear una cultura de ciberseguridad
Es fácil para los empleados sentir que la ciberseguridad es trabajo de otra persona. Pero reducir el riesgo humano comienza cambiando esa impresión y haciendo que cada empleado se sienta responsable de la ciberseguridad. Aunque la formación es un componente clave de este cambio, también implica mantener la ciberseguridad presente en toda la empresa. Una cultura de ciberseguridad comienza desde arriba, con cada líder hablando de ciberseguridad y destacando su importancia.
La ciberseguridad empieza y termina en los humanos: los humanos que crean los ataques y los humanos con la capacidad de detener los ataques. Al centrarse en el elemento humano en la ciberseguridad, su organización puede reducir significativamente su riesgo. Sin embargo, el cambio no se produce en una sola sesión de formación ni en unos pocos meses. Las organizaciones deben considerar esta estrategia como un enfoque a largo plazo con el objetivo de que cada empleado sea consciente de que tiene el poder de marcar la diferencia en la ciberseguridad de la organización.