Ciberseguridad

Los malos hábitos de los empleados son una amenaza para la ciberseguridad

Department of Homeland Security workers at the National Cybersecurity and Communications Integration Center in Arlington, Virginia, January 13, 2015.     REUTERS/Larry Downing   (UNITED STATES - Tags: POLITICS SCIENCE TECHNOLOGY CRIME LAW MILITARY) - RTR4LBN0

Image: REUTERS/Larry Downing

M. Victoria S. Nadal

La ciberseguridad es una de las principales obsesiones para las grandes compañías, y tienen motivos. El coste de los ataques a nivel global ha subido casi un 62% desde 2013, según el estudio 2017, el coste del cibercrimen, desarrollado por Accenture. Pero este asunto aún sigue siendo una asignatura pendiente para muchas pymes, que ahora están empezando a ver la necesidad de protegerse contra los hackers. Aún así, tanto grandes como pequeñas empresas, utilizan principalmente medidas tecnológicas para tapar sus posibles brechas de seguridad y pocas se dan cuenta de que se están olvidando de algo imprescindible: sus propios empleados también pueden contribuir a mejorar la ciberseguridad de la compañía.

Invertir grandes cantidades de dinero en desarrollar e implementar nuevas tecnologías para detener a los hackers antes de que accedan a la información parece ser una medida básica y obvia. "A pesar de nuestra predilección por usar tecnología para resolver lo que parecen ser problemas tecnológicos, estamos pasando por alto una de las amenazas más persistentes de la ciberseguridad: el comportamiento humano", explica Alex Blau, vicepresidente de la ONG Ideas42, que se dedica a estudiar el comportamiento humano para solucionar problemas sociales complejos. No parece exagerado asumir que las acciones humanas suponen en muchos casos una amenaza para la ciberseguridad: no olvidemos que la contraseña más utilizada mundialmente año tras año sigue siendo 123456.

El factor humano está implicado en la mayoría de los ciberataques, los ejemplos más recientes están en WannaCry y Mirai. En estos casos, todo comenzó debido a las malas decisiones y acciones de los empleados que utilizaban los equipos y los que se encargaban de gestionarlos. Desde un ingeniero que pudo crear sin darse cuenta una vulnerabilidad en el software, hasta el usuario final que hizo clic en un enlace incorrecto, tenía una contraseña débil o había descuidando la instalación de una actualización de seguridad. Así estamos poniéndoselo muy fácil a los cibercriminales.

Tan fácil, que el año pasado el Instituto Nacional de Ciberseguridad (Incibe) desarrolló un videojuego que enseña a las pymes a detectar sus vulnerabilidades y lo importante que es protegerse y evitar fugas de información. A lo largo de las pantallas los jugadores pueden descubrir cuáles son las principales vías de acceso de los hackers en el sistema informático de su negocio y la importancia de, por ejemplo, cambiar las claves de forma habitual, actualizar el software o no conectarse a redes wifi sin protección. Se trata de una aventura gráfica que tiene como objetivo principal concienciar a los trabajadores de todas las cosas que hay en sus manos para protegerse ante los ciberataques. Los expertos aseguran que las pymes aún no han entendido los riesgos del ciberespacio y que viven ajenas a los ataques "aún cuando sus consecuencias pueden ser imprevisibles para sus cuentas de resultados y su reputación". El problema no es la inversión económica o la falta de recursos tecnológicos, sino que muchas empresas aún no ven la necesidad de escudarse.

Una de las formas de solucionar estos descuidos humanos es comenzar a utilizar la inteligencia artificial, delegando algunas decisiones humanas en las máquinas, pero estas innovaciones también tienen mucho que mejorar. "El juicio humano sigue siendo necesario para llenar el vacío entre las capacidades de nuestras tecnologías y nuestras necesidades", explica Blau. Pero si el juicio humano no es perfecto y la tecnología no es suficiente, ¿qué pueden hacer las empresas para reducir los riesgos de un mal comportamiento respecto a la ciberseguridad?

Un estudio de la ONG Ideas 42 señala varias teorías sobre por qué las personas establecen contraseñas incorrectas, olvidan la instalación de actualizaciones o siguen haciendo clic en enlaces maliciosos. La base de todas ellas es que aún seguimos pensando que los ciberataques siempre les pasan a otros y confiamos en que los enlaces que nos mandan no tienen virus, o creemos saber diferenciar entre los que son seguros y los que no. El informe también hace referencia a que las actualizaciones automáticas a veces llegan en mitad del trabajo y dan la opción de "dejarlo para más tarde", lo que contribuye a procrastinar la instalación. Para contribuir a la mejora de estos hábitos, proponen dos soluciones.

Establecer las medidas de seguridad de forma predeterminada

Una de las ideas más influyentes de las ciencias del comportamiento es que todo lo que viene predeterminado generalmente se mantiene. "En lugar de permitir que sus empleados opten por acciones de seguridad específicas, los empleadores podrían tomarse el tiempo para configurar las computadoras y sistemas que los empleados usan para tener estas características activadas por defecto", se lee en el estudio. Hacerlo podría llevar a tasas más altas de cumplimiento que confiar en que sus empleados lo hagan por sí mismos.

Reservar momentos para actualizar el sistema

Cuando salta una notificación que recuerda que debes instalar una actualización, normalmente compite con las tareas que los trabajadores están desarrollando en ese momento. Es habitual dejarlo para cuando tengamos tiempo, pero el momento ideal no parece llegar nunca. Una de las formas que los investigadores proponen para solucionar esto es reservar una hora del horario de los trabajadores a completar la actualización, dando así más prioridad a la ciberseguridad.

No te pierdas ninguna actualización sobre este tema

Crea una cuenta gratuita y accede a tu colección personalizada de contenidos con nuestras últimas publicaciones y análisis.

Inscríbete de forma gratuita

Licencia y republicación

Los artículos del Foro Económico Mundial pueden volver a publicarse de acuerdo con la Licencia Pública Internacional Creative Commons Reconocimiento-NoComercial-SinObraDerivada 4.0, y de acuerdo con nuestras condiciones de uso.

Las opiniones expresadas en este artículo son las del autor y no del Foro Económico Mundial.

Mantente al día:

Ciberseguridad

Comparte:
La visión global
Explora y monitorea cómo Ciberseguridad afecta a las economías, las industrias y los problemas globales
A hand holding a looking glass by a lake
Innovación mediante crowdsourcing
Involúcrate con nuestra plataforma digital de crowdsourcing para lograr un impacto a escala
World Economic Forum logo
Agenda Global

La Agenda Semanal

Una actualización semanal de los temas más importantes de la agenda global

Suscríbete hoy

Puedes anular tu suscripción en cualquier momento utilizando el enlace que figura en nuestros correos electrónicos. Para obtener más información, consulta nuestro Política de privacidad.

Nuevos estándares del NIST: por qué la criptografía cuántica podría haber alcanzado su madurez

Colin Soutar, Itan Barmes and Filipe Beato

28 de octubre de 2024

4 leyes sobre ciberseguridad que han cambiado el panorama global en 2024

Quiénes somos

Participe en el Foro

  • Iniciar sesión
  • Asóciese con nosotros
  • Conviértase en miembro
  • Regístrese para recibir nuestras notas de prensa
  • Suscríbase a nuestros boletines
  • Contacte con nosotros

Enlaces directos

Ediciones en otros idiomas

Política de privacidad y normas de uso

Sitemap

© 2024 Foro Económico Mundial