Cuando el poeta Alexander Pope dijo por primera vez “errar es humano”, probablemente no se dio cuenta de lo premonitorias que eran esas palabras al capturar el mundo de la ciberseguridad. Sí, la causa principal de la mayoría de las brechas de seguridad se puede atribuir a acciones humanas, o la falta de ellas. Sin embargo, el error más grande es creer que la ciberseguridad se puede lograr simplemente corrigiendo malos comportamientos. Hoy en día, la ciberseguridad se ha expandido mucho más allá de su dominio tradicional de amenazas externas, que se caracterizan por hackers externos que atacan vulnerabilidades de red. Ahora incluye amenazas internas, que son mucho más complejas y difíciles de manejar, como lo demuestran algunas brechas internas muy graves recientes, como las que involucraron a Edward Snowden y Chelsea Manning. La naturaleza de las amenazas internas se puede categorizar en maliciosas, accidentales o negligentes, y representan el 39% combinado de todas las brechas de datos según investigaciones recientes.

Con el comportamiento de los empleados desempeñando un papel cada vez más importante en el estado de la ciberseguridad de su organización, aquí hay algunas ideas generales sobre el lado humano de la ciberseguridad que pueden ayudar a dar forma al enfoque correcto para su empresa:

Replantear la capacitación de los empleados

Para las amenazas externas, existen las defensas habituales contra virus, malware, phishing y ataques de red. Sin embargo, muchas de estas defensas a menudo se ven comprometidas por comportamientos humanos erróneos o negligentes, lo que hace que la capacitación de los empleados sea aún más crítica. En esta área, la capacitación a nivel de toda la empresa sobre las mejores prácticas para manejar la última amenaza de seguridad es un enfoque común; desafortunadamente, estas pautas a menudo se leen por encima, se pasan por alto o se ignoran por completo. Además, el memorando estándar sobre seguridad a menudo no captura las sutilezas presentadas por amenazas de seguridad más dinámicas, que a menudo son internas. Por ejemplo: ¿cómo puede un empleado diferenciar una conversación de correo electrónico legítima de un cebo de phishing? ¿Cuándo debe un empleado denunciar la actividad sospechosa de un compañero de trabajo? ¿Qué tipos de información se pueden y no se pueden compartir, y con quién?

Para tener un impacto significativo y duradero en el comportamiento de los empleados, las organizaciones deberían considerar en su lugar sesiones de capacitación frecuentes e interactivas. Investigaciones recientes del Instituto Ponemon indican que la capacitación de los empleados está empatada como el tercer método más efectivo para disminuir el costo per cápita de una brecha, justo después del uso extensivo de la encriptación y la asignación de un equipo de respuesta a incidentes.

En resumen, la ciberseguridad no se trata solo de corregir el comportamiento humano. Es necesario replantear la forma en que se capacita a los empleados y abordar las amenazas internas de manera más efectiva. Al hacerlo, las organizaciones pueden fortalecer su postura de seguridad y reducir el riesgo de brechas de datos.

Fuente del artículo: HBR