Según la consultora Gartner, en 2022, el 82% de las violaciones de datos fueron el «resultado de comportamientos inseguros o descuidados de empleados o colaboradores», dejando claro que el elemento humano es un factor destacado en la ciberseguridad.
La recomendación esta empresa es pensar más allá de la tecnología y la automatización e influir activamente para involucrar profundamente a la gente, a fin de garantizar que cuenten con el conocimiento adecuado al momento de tomar de decisiones que impliquen riesgos.
He reiterado en múltiples oportunidades que el “awareness” en torno a los riesgos es clave para la seguridad, sin embargo, existe dos dimensiones adicionales y aun más accionables que deben formar parte de la estructura y cultura de seguridad; se trata, por un lado, del trabajo directo sobre la conducta humana, y por el otro, de la capacidad de gerenciar el nivel de exposición a amenazas.
En relación con el comportamiento de los individuos frente a los riesgos, una de las acciones que ha resultado efectiva es realizar simulacros que presenten escenarios de riesgo. En el caso de la ciberseguridad, la simulación del phishing para evaluar la resiliencia de los empleados ante los ataques de ingeniería social y, a partir de allí, proporcionar retroalimentación y entrenamiento adicional a aquellos que caen en trampas de phishing se ha traducido en una reducción sensible de fraudes y estafas online, entre otros riesgos posibles. En el reporte de Gartner, por ejemplo, se hace referencia que en las organizaciones evaluadas el 65% de la gente abrió correos y/o accedió a enlaces de fuentes desconocidas. Asimismo, en dos de cada tres casos los empleados utilizaron los equipos de trabajo para acceder y almacenar información personal.
Respecto a la gestión sobre el nivel de exposición a amenazas, desde el punto de vista de la ciberseguridad, se trata de un proceso de observación continua de la infraestructura y el tráfico de red para identificar patrones de comportamiento anómalos que podrían indicar amenazas en curso. Sin embargo, desde una visión más amplia de la seguridad, la exposición a amenazas está relacionada con comportamientos inseguros que pueden abrir vulnerabilidades, y que en entornos riesgosos son rápidamente explotadas por agentes considerados peligrosos.
La gestión de exposición a amenazas contempla aspectos como la actualización de las matrices de riesgo de las organizaciones, los métodos para la toma de decisiones que impliquen nuevos riesgos, la observación e inteligencia del entorno, y la actualización permanente de políticas y normas de seguridad.
En este sentido, las organizaciones necesitan prestar atención tanto a las fuentes emergentes de amenazas tecnológicas como no tecnológicas y que pueden contener altos niveles de incertidumbre, sobre todo aquellas vinculadas con elementos internos que pueden actuar como amenazas, ya sea de manera intencional o incidental.
Como última consideración, está el tema de la desinformación como un riesgo con potencial para afectar a las organizaciones y debe entrar en el espectro de observación e inteligencia de entorno.
Todo lo expuesto refuerza la idea sobre la construcción de una cultura resiliente de seguridad con agilidad para adaptarse a la liquidez de los riesgos, donde el norte no es sólo invertir en hardware y software sino en la gente.