Las personas constituyen recursos útiles para los ciberatacantes porque tienen acceso directo a los activos de la organización (dispositivos hardware, aplicaciones y software, accesos a sistemas, etc.) y, entre ellos, a los propios datos e información del negocio, o al conocimiento interno sobre su funcionamiento. ¿Cómo detectar y gestionar las vulnerabilidades humanas?
El eslabón más débil: el factor humano
MA
Marco A. Peña
Management & Innovation (Núm. 50) · TIC · Noviembre 2022
Que la ciberseguridad es un reto en las organizaciones no es una novedad, y menos a la vista de los casos que, de forma periódica, aparecen en los medios. Interrupciones de servicio, fugas de datos, robo de propiedad intelectual, extorsión, suplantación de identidad, entre otras causas, provocan cuantiosas pérdidas económicas y menoscaban la confianza de los stakeholders.
Para protegerse de potenciales ciberataques, quien más quien menos dispone de una batería de soluciones técnicas: firewall, antimalware, segmentación de redes, etc. En muchos casos, se aplican planes de auditoría que analizan los sistemas de información, e incluso se simulan ataques (pentesting) para comprobar la robustez de las medidas de protección. En algunos casos se dispone de políticas y procedimientos (gestión de accesos, política de contraseñas, política de copia de seguridad…) que establecen una especie de compliance interno en la materia. Eventualmente, se dispone de sistemas de gestión de la seguridad de la información en base a normas certificables por terceros (como puede ser la ISO 27001). Y, recientemente, hemos incorporado también los seguros de ciberriesgo al arsenal de protección.
Sea como sea, ninguna organización está 100% a salvo. Es más, estar “a salvo” hoy no garantiza estarlo mañana, y de ahí el reto: tenemos que acostumbrarnos a convivir con el riesgo, a gestionarlo de forma continuada y a prepararnos para el caso en que este se materialice.
Lo que de ningún modo podemos asumir es que el ciberriesgo es una mera cuestión técnica. Para que una organización funcione se precisan procesos. Estos se apoyan en sistemas de información (entre otros), los cuales son usados por personas que gestionan datos, información y conocimiento. Y tanto sistemas como personas interactúan con sistemas de terceros, partners y todo tipo de agentes externos. Es una compleja cadena de transmisión que, cuando se trata de ciberprotegerla, no podemos centrarnos únicamente en una dimensión. Sin embargo, existe una dimensión que no siempre se toma en suficiente consideración, y de eso vamos a hablar.
EL ESLABÓN MÁS DÉBIL
Como se suele decir, una cadena es tan fuerte como su eslabón más débil, y, en el caso de la ciberseguridad, el eslabón más débil es el factor humano1.
<...
Marco A. Peña
Director de Sistemas de Información y profesor asociado del Departamento de Operaciones de EADA Business School ·
Artículos relacionados
La empresa y la 'Web 2.0'
ED