¿Por qué leer esta nota?
Cada año, el 28 de enero se conmemora el Día Internacional de la Protección de Datos Personales. Un tema tan importante para individuos como para empresas; especialmente para aquellas que guardan en su haber información confidencial de clientes y otros grupos de interés.
Las empresas responsables deben garantizar la seguridad de los datos personales de sus stakeholders. Muchas destinan a ello randes presupuestos y esfuerzos cibernéticos avanzados, pero olvidan protegerse de uno de los riesgos más grandes para la ciberseguridad: el comportamiento humano.
Un artículo publicado por World Economic Forum explora cómo el comportamiento de tus colaboradores influye en la seguridad digital. ¿Quieres averiguarlo?
Transcribimos a continuación.
Los malos hábitos de los empleados son una amenaza para la ciberseguridad
La ciberseguridad es una de las principales obsesiones para las grandes compañías, y tienen motivos. El coste de los ataques a nivel global ha subido casi un 62% desde 2013, según el estudio 2017, el coste del cibercrimen, desarrollado por Accenture. Pero este asunto aún sigue siendo una asignatura pendiente para muchas pymes, que ahora están empezando a ver la necesidad de protegerse contra los hackers. Aún así, tanto grandes como pequeñas empresas, utilizan principalmente medidas tecnológicas para tapar sus posibles brechas de seguridad y pocas se dan cuenta de que se están olvidando de algo imprescindible: sus propios empleados también pueden contribuir a mejorar la ciberseguridad de la compañía.
Invertir grandes cantidades de dinero en desarrollar e implementar nuevas tecnologías para detener a los hackers antes de que accedan a la información parece ser una medida básica y obvia. «A pesar de nuestra predilección por usar tecnología para resolver lo que parecen ser problemas tecnológicos, estamos pasando por alto una de las amenazas más persistentes de la ciberseguridad: el comportamiento humano», explica Alex Blau, vicepresidente de la ONG Ideas42, que se dedica a estudiar el comportamiento humano para solucionar problemas sociales complejos. No parece exagerado asumir que las acciones humanas suponen en muchos casos una amenaza para la ciberseguridad: no olvidemos que la contraseña más utilizada mundialmente año tras año sigue siendo 123456.
El factor humano está implicado en la mayoría de los ciberataques, los ejemplos más recientes están en WannaCry y Mirai. En estos casos, todo comenzó debido a las malas decisiones y acciones de los empleados que utilizaban los equipos y los que se encargaban de gestionarlos. Desde un ingeniero que pudo crear sin darse cuenta una vulnerabilidad en el software, hasta el usuario final que hizo clic en un enlace incorrecto, tenía una contraseña débil o había descuidando la instalación de una actualización de seguridad. Así estamos poniéndoselo muy fácil a los cibercriminales.
Tan fácil, que el año pasado el Instituto Nacional de Ciberseguridad (Incibe) desarrolló un videojuego que enseña a las pymes a detectar sus vulnerabilidades y lo importante que es protegerse y evitar fugas de información. A lo largo de las pantallas los jugadores pueden descubrir cuáles son las principales vías de acceso de los hackers en el sistema informático de su negocio y la importancia de, por ejemplo, cambiar las claves de forma habitual, actualizar el software o no conectarse a redes wifi sin protección. Se trata de una aventura gráfica que tiene como objetivo principal concienciar a los trabajadores de todas las cosas que hay en sus manos para protegerse ante los ciberataques. Los expertos aseguran que las pymes aún no han entendido los riesgos del ciberespacio y que viven ajenas a los ataques «aún cuando sus consecuencias pueden ser imprevisibles para sus cuentas de resultados y su reputación». El problema no es la inversión económica o la falta de recursos tecnológicos, sino que muchas empresas aún no ven la necesidad de escudarse.
Una de las formas de solucionar estos descuidos humanos es comenzar a utilizar la inteligencia artificial, delegando algunas decisiones humanas en las máquinas, pero estas innovaciones también tienen mucho que mejorar. «El juicio humano sigue siendo necesario para llenar el vacío entre las capacidades de nuestras tecnologías y nuestras necesidades», explica Blau. Pero si el juicio humano no es perfecto y la tecnología no es suficiente, ¿qué pueden hacer las empresas para reducir los riesgos de un mal comportamiento respecto a la ciberseguridad?
Un estudio de la ONG Ideas 42 señala varias teorías sobre por qué las personas establecen contraseñas incorrectas, olvidan la instalación de actualizaciones o siguen haciendo clic en enlaces maliciosos. La base de todas ellas es que aún seguimos pensando que los ciberataques siempre les pasan a otros y confiamos en que los enlaces que nos mandan no tienen virus, o creemos saber diferenciar entre los que son seguros y los que no. El informe también hace referencia a que las actualizaciones automáticas a veces llegan en mitad del trabajo y dan la opción de «dejarlo para más tarde», lo que contribuye a procrastinar la instalación. Para contribuir a la mejora de estos hábitos, proponen dos soluciones.
Establecer las medidas de seguridad de forma predeterminada
Una de las ideas más influyentes de las ciencias del comportamiento es que todo lo que viene predeterminado generalmente se mantiene. «En lugar de permitir que sus empleados opten por acciones de seguridad específicas, los empleadores podrían tomarse el tiempo para configurar las computadoras y sistemas que los empleados usan para tener estas características activadas por defecto», se lee en el estudio. Hacerlo podría llevar a tasas más altas de cumplimiento que confiar en que sus empleados lo hagan por sí mismos.
Reservar momentos para actualizar el sistema
Cuando salta una notificación que recuerda que debes instalar una actualización, normalmente compite con las tareas que los trabajadores están desarrollando en ese momento. Es habitual dejarlo para cuando tengamos tiempo, pero el momento ideal no parece llegar nunca. Una de las formas que los investigadores proponen para solucionar esto es reservar una hora del horario de los trabajadores a completar la actualización, dando así más prioridad a la ciberseguridad.
