Según el INCIBE y ENISA, los incidentes relacionados con ciberseguridad han aumentado en torno a un 24% en los últimos dos años (ENISA 2024, INCIBE 2023). Para ENISA, el factor humano sigue siendo el eslabón más débil (ENISA 2024). La mayoría de las brechas de seguridad se originan por errores humanos, falta de formación o actitudes negligentes (Liu y Lin 2022).
Uno de los eventos de seguridad más relevantes en los últimos años, el incidente de Crowdstrike, que afectó a 8.5 millones de sistemas Windows en Julio de 2024 (Reuters 2024, Financial Times 2024), no fue el resultado de un ciberataque, sino la consecuencia de un error humano. Recientemente, la empresa Clorox ha demandado a su proveedor de TI, Cognizant, por presunta negligencia, ya que aparentemente los atacantes consiguieron las credenciales de administrador con las que lanzaron un ransomware, tan solo preguntando a través del chat de soporte, sin necesidad de ninguna herramienta maliciosa. Entonces: ¿Cómo se pueden abordar los riesgos asociados con las conductas humanas de forma efectiva?
Sería deseable poder contenerlos con tecnología, ya que en algunos casos podría llegar a mitigar en gran medida el comportamiento de riesgo ¿Por qué no centrar la ciberseguridad exclusivamente en medidas técnicas? Si corporate security se ocupara de la seguridad y los empleados de hacer su trabajo, ¿No sería más efectivo?
La respuesta es clara: existe un balance entre seguridad y operatividad. Es decir, no es posible garantizar un entorno completamente seguro sin comprometer el rendimiento de los empleados. El factor humano nunca se puede eliminar completamente. Los delincuentes lo saben y buscan explotarlo para obtener sus objetivos. Además, las medidas técnicas pueden fallar. Y esto dejaría a las personas y organizaciones completamente expuestas.
Aquí es donde el papel de la concienciación se vuelve crucial. La consciencia sobre los riesgos derivados de nuestras acciones y las situaciones que suponen un mayor riesgo nos provee con una capa de protección que la tecnología por sí misma no puede ofrecer. Según Alshaikh, Maynard, y Ahmad (2022) un conocimiento técnico elevado contribuye a la adopción de prácticas seguras y la conciencia de riesgos influye, aunque en menor medida, en la intención y en la acción. Existen múltiples situaciones en las que las nociones sobre riesgos y prácticas seguras de los empleados tienen implicaciones para la seguridad en BBVA, como son, entre otras: la relación con proveedores, la complejidad, custodia y compartición de credenciales, la activación del doble factor en todos los servicios, y el cumplimiento estricto de los protocolos y procedimientos, especialmente aquellos relacionados con la verificación de la identidad de terceros.
En tiempos de inteligencia artificial y personalización de los ataques, los delincuentes desarrollan y explotan nuevas vulnerabilidades cada día, y, en este escenario, la protección solo se puede sustentar en el conocimiento y el nivel de concienciación de las personas. Según Roberto Ortiz (BBVA 2020), Global Head of People Information Security en BBVA, el factor humano se convierte en la principal herramienta para proteger a las organizaciones. Aunque, indica el propio Ortiz (2020), existe una escasez de profesionales con habilidades mixtas en seguridad, ingeniería y análisis de datos, lo que dificulta la defensa adecuada en un entorno con volúmenes crecientes de información. Por ello, y también en palabras de Ortiz, la seguridad puede convertirse en una ventaja competitiva si se diseñan experiencias positivas para el usuario. El reto es adaptar la concienciación a la realidad y las necesidades de cada colectivo.
Un enfoque basado en la gestión del riesgo humano, transversal y multidisciplinar comienza con la política, y pasa por incorporar el factor humano en los procesos y procedimientos de toda la organización. Según el INCIBE, el factor humano es el eslabón más importante de la seguridad y está bajo control con una buena política de seguridad (INCIBE 2018).
Configuración de cookies
