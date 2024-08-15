Con la ciberseguridad, el enfoque a menudo está en la tecnología, específicamente, cómo los delincuentes cibernéticos la usan para llevar a cabo ataques y las herramientas que las organizaciones pueden usar para mantener seguros sus sistemas y datos. Sin embargo, esto pasa por alto el elemento más importante en el riesgo de ciberseguridad: el error humano.
El informe Voice of the CISO de Proofpoint de 2024 encontró que tres de cada cuatro (74%) directores de seguridad de la información (CISO) consideraron que el error humano era su principal riesgo de ciberseguridad. Esto revela un crecimiento significativo con respecto al 60 % de los CISO del año pasado que expresaron este sentimiento. El estudio también encontró una brecha clave entre los CISO y la sala de juntas. Los miembros de la junta tenían menos probabilidades (63 %) de señalar el error humano que los CISO, lo que demuestra que los CISO deben centrarse en educar al liderazgo, así como a los empleados.
Varias de las principales causas de los eventos de pérdida de datos en el encuestado estaban relacionadas directamente con los empleados. La respuesta principal (42 %) fue el descuido del usuario interno negligente/empleado, como el uso indebido de datos por parte de un empleado. Otras razones incluyeron un usuario interno malicioso o criminal (36 %), credenciales de empleados robadas (33 %) y dispositivos perdidos o robados (28 %).
El índice de amenazas de IBM 2024 respalda este hallazgo, lo que indica que el 30 % de los ataques comienzan con phishing. Sin embargo, los ataques de phishing han disminuido desde 2022, tanto en volumen como en vector de ataque inicial. El informe señala que la continua adopción y reevaluación de las técnicas y estrategias de mitigación del phishing es una de las razones de la reducción.
Aunque un humano puede cometer el error que causó la brecha, no es necesariamente culpa del individuo, salvo en el caso de un usuario interno criminal. Las organizaciones deben adoptar un enfoque proactivo en materia de ciberseguridad, lo que incluye impartir formación para que los empleados aprendan prácticas seguras, al tiempo que se establecen procesos que reduzcan el riesgo.
Reducir el riesgo de ciberseguridad humana no es sencillo. No puede lanzar un solo programa o capacitación que arreglos el problema. En cambio, las organizaciones deben adoptar un enfoque holístico que cree una cultura de ciberseguridad y empodere a cada empleado para pensar en la ciberseguridad como su trabajo.
Debido a que las herramientas de IA pueden predecir lo que es probable que haga un ser humano, pueden ser especialmente efectivas para proteger contra el riesgo humano en ciberseguridad. El informe de Proofpoint encontró que el 87 % de los CISO globales buscan desplegar capacidades impulsadas por IA para ayudar a proteger contra errores humanos y amenazas cibernéticas avanzadas centradas en el ser humano.
Aunque muchas empresas brindan capacitación, a menudo es una capacitación de tipo check-the-box que realmente no cambia el comportamiento ni mantiene la ciberseguridad en la mente. Al diseñar un programa de capacitación, adopte un enfoque holístico y considere qué empleados necesitan qué tipo de capacitación.
Comience por revisar incidentes pasados para determinar qué temas son los más importantes, como empleados que hacen clic repetidamente en intentos de phishing en el pasado reciente. En lugar de capacitaciones anuales, las empresas deben considerar mini módulos mensuales regulares para mantener los temas presentes. Además, incluya capacitación en ciberseguridad como parte de la incorporación de nuevos empleados para garantizar que cada empleado comience su carrera en su empresa con la misma información.
Es fácil que los empleados sientan que la ciberseguridad es trabajo de otra persona. Pero reducir el riesgo humano comienza con cambiar esa impresión y hacer que cada empleado se sienta responsable de la ciberseguridad. Aunque la formación es un componente clave de este cambio, también implica mantener la ciberseguridad presente en toda la compañía. Una cultura de ciberseguridad comienza desde arriba, con cada líder hablando de ciberseguridad y enfatizando su importancia.
La ciberseguridad comienza y termina con los humanos: humanos que crean los ataques y humanos con la capacidad de detener los ataques. Al centrarse en el elemento humano en la ciberseguridad, su organización puede reducir significativamente su riesgo. Sin embargo, el cambio no ocurre con una sola sesión de entrenamiento o incluso en unos pocos meses. Las organizaciones deben considerar esta estrategia como un enfoque a largo plazo con el objetivo de que cada empleado tome conciencia de que tiene el poder de marcar la diferencia en la ciberseguridad de la organización.
