CIBERSEGURIDAD

El papel de las personas en la seguridad corporativa y cómo se debe actuar

La forma más fácil de acceder a una organización es explotar la vulnerabilidad humana mediante tácticas de ingeniería social sencillas, pero sofisticadas, en forma de emails de phishing.

Lo ideal es abogar por una política de seguridad que combine tecnología y personas.
Lo ideal es abogar por una política de seguridad que combine tecnología y personas. PexelsPexels

Se suele pensar que las pymes son objetivos menos valiosos para los ciberdelincuentes, pero lo cierto es que no son inmunes a sus ataques. Basta con tener una cuenta bancaria o información sensible susceptible de robo para estar en peligro. Desde Proofoint, empresa de ciberseguridad, señalan que los ciberataques se dirigen directamente a las personas, y no a los sistemas de las empresas sea cual sea su tamaño.

La forma más fácil de acceder a una organización es, por tanto, explotar la vulnerabilidad humana mediante tácticas de ingeniería social sencillas, pero sofisticadas, en forma de emails de phishing. Estos ataques pueden tener como objetivo engañar a la víctima para que haga clic en enlaces peligrosos e instale malware, o hacerse pasar por alguien de confianza que convenza a un empleado de transferir o revelar datos confidenciales.

En entornos de trabajo híbrido, como los que se dan actualmente, las empresas deben tener más presente que nunca la necesidad de métodos de protección frente a amenazas. Lo cierto, no obstante, es que “las pymes suelen tener menos margen de maniobra que las organizaciones más grandes y estructuradas en cuanto a tiempo de inactividad de los empleados y la red, además de disponer de menos fondos para reparar y recuperarse de un incidente”, subraya David Imoisli, mánager sénior para el sur de Europa en Proofpoint.

A esto hay que sumar, según el experto, que “es menos probable también que las pymes tengan acceso a herramientas técnicas avanzadas que impidan que los ataques lleguen a los empleados, de ahí que los incidentes de seguridad puedan ser más costosos hasta el punto de poner a prueba la sostenibilidad del negocio”.

El factor humano: las claves

El factor humano, es decir, la curiosidad o la confianza que lleva a las personas a caer en una trampa, pese a tener la mejor de las intenciones, sigue siendo algo explotando reiteradamente por los ciberdelincuentes. Al respecto, el informe Voice of the CISO 2023 de Proofpoint revela que el 65% de los CISOs en España considera el error humano como su principal problema de ciberseguridad.

Sin embargo, cuando se trata de protección contra el factor humano, muy pocas empresas valoran lo suficiente la capacitación de los empleados como para fortalecer su resistencia a las tácticas de ingeniería social; y “sin un mayor nivel de concienciación sobre ciberseguridad, siempre habrá alguien que haga clic en un enlace malicioso”, asevera David Imoisli, de Proofpoint.

Estas formaciones sobre amenazas deben diseñarse como un componente crítico dentro de la estrategia de las organizaciones, y no simplemente como un curso más que hacer por los empleados, de modo que estos se vuelvan cada vez menos impulsivos y que incluso los profesionales más presionados puedan tomarse el tiempo para detectar las características de un ataque de ingeniería social.

Para los expertos en ciberseguridad, este programa integral de capacitación y concienciación tiene que ser el núcleo de la ciberdefensa de una organización. El aprendizaje debe ser fluido, integral y escalable, incluyendo temáticas desde las motivaciones y los mecanismos de las amenazas hasta la comprensión de comportamientos simples, como la reutilización de contraseñas o una protección de datos inadecuada, que aumentan el éxito de un ataque. Esto conseguirá crear una cultura de seguridad extensible a toda la empresa.

Detener y remediar amenazas antes de que sucedan

Cuando cada empleado asuma su parte de responsabilidad en la seguridad de su propia organización, podrán verse los beneficios de este necesario cambio de mentalidad. Para ayudar a ello y prepararse ante ataques, conviene tomar asimismo estas medidas:

Adoptar un enfoque de seguridad centrado en las personas, puesto que ayudará a detener las amenazas antes de que lleguen a las potenciales víctimas. Es importante proteger a todas las partes (empleados, clientes y socios) del phishing, el fraude por correo electrónico y el robo de credenciales mediante una defensa por capas que incluya el perímetro, la gateway del correo electrónico, la nube y el endpoint, junto con formación personalizada para los usuarios. Detectar y remediar amenazas que explotan la naturaleza humana previamente es más fácil y efectivo que intentar detenerlas cuando ya han penetrado la organización. Además, frenar una filtración de datos o un ransomware en su origen elimina la presión de otros controles.

Asegurarse de que los empleados comprenden el valor de la información que procesan y saben identificar y denunciar los intentos de fraude por correo electrónico. Hay que fomentar la comunicación entre compañeros, especialmente cuando trabajan a distancia. Por ejemplo, se puede establecer una política que exija confirmación verbal antes de procesar un pago por transferencia, a fin de reducir las posibilidades de que los fondos se transfieran accidentalmente a ciberdelincuentes.

Extender las normas de ciberseguridad no sólo en la oficina, sino también en casa, prestando mucha atención a los enlaces sobre los que se hace clic y, de nuevo, a las transferencias de dinero. También se deberá garantizar una conexión WiFi segura, así como utilizar una VPN corporativa y contraseñas seguras. Para muchos empleados nuevos o que trabajan en remoto, habrá protocolos, herramientas y comunicaciones con los que no estarán familiarizados; y es precisamente esa brecha la que los ciberdelincuentes tratarán siempre de explotar.

Lo ideal es abogar por una política de seguridad que combine tecnología y personas.