El factor humano: el eslabón más débil de la ciberseguridad
Por Ricardo Dorado Correa, Director de Crecimiento de Fundación País Digital; Vicepresidente Alianza Chilena Ciberseguridad
La aceleración de la transformación digital trajo consigo una mayor consciencia del nivel de conectividad y adopción de tecnología, así como grandes beneficios para las empresas y la calidad de vida de las personas. Pero al mismo tiempo, tiene externalidades que están lejos de ser positivas. Hablamos del aumento de las ciberamenazas, que evolucionan día a día en su nivel de sofisticación. Según datos globales de la consultora Cybersecurity Ventures, en 2015 ocurría un ataque cada 2 minutos y los costos empresariales asociados a ciberseguridad eran cercanos a US $325 millones. Hoy los ataques suceden cada 11 segundos y los costos ascienden a US $20 mil millones.
Y es que con el aumento de los dispositivos tecnológicos, crece exponencialmente la superficie susceptible de ataques. Cada vez hay más personas conectadas a internet, y por ende una mayor cantidad y variedad de dispositivos y de información. Por otro lado, a nivel de operaciones y procesos, contamos con más empresas que integran tecnologías para digitalizarse, y la apertura de los negocios requiere que las empresas colaboren con su ecosistema, lo que implica “conectarse” a una red ampliada que incrementa los puntos de entrada a los sistemas empresariales.
Sin embargo, se estima que el 90% de los ataques son a través de phishing, dejando en evidencia que las personas son el eslabón más débil en la cadena de la seguridad. Ya en 2018 se registraron 60 millones de robos de identidad online en el mundo (300% más que el año anterior), de acuerdo con Cybersecurity Ventures, lo que aumenta a medida que más personas se suman a la digitalización.
Según datos de IBM Security, este año se han creado en promedio 14 nuevas cuentas digitales por persona, cifra que alcanza 80 mil millones si se lleva a escala global. Y en el caso de Chile, el 84% de las personas que se registraron en nuevas Apps lo hizo con la reutilización de contraseñas que podrían estar comprometidas en algún nivel.
Por ello, junto con una evolución de la seguridad digital y el desarrollo de soluciones que permitan manejar y tener visibilidad de punta a punta, así como bloquear, tomar acciones, poner en cuarentena o sacar de la red cualquier dispositivo que represente una amenaza para las organizaciones, la estrategia de las empresas debe estar enfocada en el entrenamiento del personal y en construir una cultura de ciberseguridad.
Una de las tendencias es realizar actividades al interior de las propias compañías, que implican poner a prueba a los trabajadores, por ejemplo, enviando correos electrónicos que podrían ser dañinos para una parte de ellos y supervisando cuántos son capaces de reconocer el potencial daño.
Generar confianza en el entorno digital, vía ciberseguridad, requiere de una mirada holística, no sólo técnica, y aquellas empresas que lo logren, sin duda estarán más preparadas para gestionar este riesgo. El compromiso de las empresas en la materia se puede reflejar en términos prácticos, por ejemplo, si la empresa cuenta con un CISO (Chief Information Security Officer), equivalente a un champion de la seguridad de la información. Aquí también cabe preguntarse si este ejecutivo reporta al CEO de la empresa directamente o está en una jerarquía asociada a TICs, ¿cuenta con presupuesto bajo su responsabilidad? En sus planes de inversión en ciberseguridad de las empresas, ¿integran a las áreas de comunicaciones y a recursos humanos en actividades claves? Así como años atrás discutimos la importancia de incorporar la innovación como parte del ADN de las empresas, hoy es aún más relevante una cultura de ciberseguridad.
Uno de los principales desafíos en la materia es tomar conciencia de que los temas de ciberseguridad ya son asuntos que deben estar en la agenda de los gerentes generales, del directorio y de los accionistas de las empresas, independiente de la industria y tamaño. Hoy es un tema estratégico y comercial.
Y otro desafío dice relación con atrevernos a denunciar este tipo de ataques informáticos, ya que, en la mayoría de los casos, no nos atrevemos por un tema de «prestigio» de la marca. De hecho, en los países desarrollados existe la obligación de realizar una denuncia de manera inmediata, precisamente para defender a los usuarios y para colaborar en la toma de medidas de resguardo.
En ese sentido, la inversión no debe estar focalizada en las áreas de tecnología y operaciones, hay un factor cultural que hoy es clave. Incorporar la seguridad de nuestra data y operaciones como parte del ADN es una inversión a largo plazo. ¿Por qué no subir a la alta gerencia, comunicaciones internas, marketing, recursos humanos, mesa de compras y a todas las demás áreas de las empresas en una cultura de ciberseguridad? Aquellas firmas cuya visión articule una mirada integral y multidisciplinaria, serán capaces de enfrentar exitosamente los riesgos vinculados a la ciberseguridad.
Pero si en todos los esfuerzos no integramos al resto de la organización, con una política clara, con formación y entrenamiento en temas de ciberseguridad, exponemos a las empresas y sus trabajadores a potenciales descuidos, tales como abrir un correo con adjunto de dudosas características, no poseer contraseñas de nomenclatura segura, o un atraso en la actualización de un parche informático por su implicancia en otros procesos. Todo esto podría exponer a la firma a brechas de seguridad que impliquen la entrega de información sensible o estratégica a terceros.