La ciberseguridad y el factor humano: más allá de la tecnología

El 90% de las medianas y grandes empresas afirman haber sufrido al menos un ciberataque. Las empresas que aseguran no haber sufrido alguno, probablemente no se han enterado. Según las cifras que se manejan actualmente, el costo aproximado de los ataques cibernéticos en todo el mundo asciende a 600 mil millones de dólares. Asimismo, una encuesta del Foro Económico Mundial (WEF, por sus siglas en inglés) revela que los ataques de ransomware aumentaron un 150% durante el 2021 y más del 80% de los expertos consultados aseguran que se está convirtiendo en una amenaza incluso para la seguridad pública.

El Perú no es ajeno a este tipo de problemas ya que, en el último año ha registrado más de 11.5 mil millones de intentos de ciberataques. Esta cifra equivale a 32 millones de intentos de ataques cibernéticos al día o 1.3 millones de ataques cada hora, en promedio (Fortinet: 2022). Debido a ello, las organizaciones a nivel global han comenzado a establecer acciones que puedan robustecer sus lineamientos y políticas en torno a la ciberseguridad. No obstante, solo el 33% de las empresas cuenta con un plan de contingencia y menos del 40% no cuenta con políticas de seguridad (ESET Security Report, 2020).

Adicionalmente, el 92% de los ejecutivos de negocios encuestados por el Foro Económico Mundial señalan estar convencidos que la resiliencia cíber está integrada en sus empresas, pero solo el 55% de sus jefes de ciberseguridad opinan lo mismo. Esta brecha entre la alta dirección y los responsables de seguridad TI puede dejar a las empresas vulnerables ante los ataques cibernéticos, por la incongruencia existente entre prioridades y políticas de seguridad.

Las compañías asumen que, adquiriendo la mejor tecnología de prevención de ataques están mitigando el riesgo de cualquier ciberataque y no se dan cuenta que aún está quedando una vulnerabilidad latente dentro de la compañía: los colaboradores. Así pues, surge la necesidad que los tomadores de decisiones trabajen de manera conjunta con los Jefes de Seguridad en el proceso de gobierno corporativo, para hacer que la ciberseguridad sea parte del ADN del ecosistema de la empresa.

Tras la aceleración de la transformación digital y el impacto del COVID-19, el trabajo híbrido y/o remoto ha cambiado las formas habituales de comportamiento de los colaboradores y a su vez, eso ha significado una ventana de acceso para los ciberdelincuentes; los cuales han detectado que uno de los principales puntos débiles precisamente es el factor humano.

Para promover la concientización sobre este tema, las organizaciones dictan capacitaciones una o dos veces al año sobre seguridad de la información, realizan una prueba de phishing a un grupo de empleados y envían correos electrónicos con consejos de seguridad. Sin embargo, eso en la actualidad es necesario, pero ya no es suficiente. La transformación digital ha permitido que los colaboradores no solo puedan acceder a la información de la compañía por medio de la laptop o computadora, sino que también accedan al correo o aplicaciones corporativas por medio de su equipo móvil, lo cual amplia el catálogo de amenazas significativamente.

Los nuevos retos obligan a las organizaciones a capacitar y potenciar a los colaboradores en temas vinculados a comportamientos ciberseguros para que en su día a día sepan cómo responder ante un ataque que este direccionado ya sea a su entorno laboral o personal, eso va a permitir crear un hábito en el empleado con comportamientos ciberseguros sostenibles e incrementales en el tiempo, siendo parte de sus prácticas rutinarias.

La visión de NTT Data es que además de ejecutar una serie de iniciativas que permitan lograr la concientización en estos temas, debe medirse el nivel de madurez en comportamientos ciberseguros y conseguir que éste aumente con el tiempo, revalorizando el papel que tienen los colaboradores como pieza clave en el proceso.

Cada compañía es única y cuenta con diferentes niveles de madurez en ciberseguridad, por ello nuestra visión se centra en cinco elementos principalmente: (1) identificar las ventanas de riesgo de cada grupo en la organización para diseñar planes y hojas de ruta a medida; (2) sensibilizar a todos en la organización sobre la importancia de la ciberseguridad; (3) promover conductas sostenibles de ciberseguridad que protejan a las personas tanto en el trabajo como en el entorno personal; (4) tomar acciones incrementales para cambiar el comportamiento de las personas; y (5) medir los comportamientos de las personas para comprender su nivel de desarrollo a través de indicadores.

Para crear un comportamiento ciberseguro, se deben involucrar a varias áreas de la compañía, como lo son marketing y recursos humanos, y no solo enfocarse en el área de TI. Las empresas deben considerar a sus empleados como la primera y principal línea de defensa contra los ataques. De esta forma se consigue que los empleados sean una fortaleza de la organización ante nuevos ciber ataques.