El error humano: la puerta de entrada de los cibercriminales a los sistemas de las empresas
Federico Aragona Especialista y Director de Ventas Regional de F5 LATAM
Federico Aragona Especialista y Director de Ventas Regional de F5 LATAM
En términos de ciberseguridad las nociones vinculadas a la información y los hackeos se han modificado a lo largo de los años. Mientras antes se creía que visibilizar el ataque a una empresa era síntoma de debilidad, hoy se concibe como un elemento para educar y concientizar a los trabajadores, que son quienes incurren en el error de capa 8.
Una persona que opera un dispositivo, aplicación o plataforma, que comete un desliz o acción indebida deja a la organización expuesta a un ataque. Esta acción, que sucede entre el dispositivo y el usuario, es lo que se conoce como error o falla de capa 8; básicamente es la razón por la cual la mayoría de los hackeos y ciberdelitos pueden concretarse. El factor humano propicia o habilita los escenarios donde los criminales cibernéticos pueden actuar con consecuencias económicas e institucionales negativas. Cualquier sistema o dispositivo, por más perfecto y eficiente que sea, puede ser vulnerado si la persona que lo opera comete un error.
En un mundo tan hiperconectado, existe una ingeniería social para obtener y cruzar datos que permitan encontrar las grietas de entrada a los sistemas. La falla humana facilita el acceso a credenciales y/o a información clave. Sin embargo, es la cultura organizacional en la que se desarrolla el negocio, las interacciones humanas cotidianas, las que hacen la diferencia en el caso de seguridad de las empresas.
En este sentido, sugerimos enfocar los recursos corporativos en capacitación y repetición de mensajes para generar una cultura de trabajo segura, ya que mientras la primera forma y proporciona los hábitos idóneos para el uso de las aplicaciones y sistemas, la repetición permanente fija la conducta a la hora de la interacción con la herramienta o manejo sensible de información crítica.
Implementando ciertas acciones, las empresas pueden minimizar los riesgos:
-Realizar entrenamientos y actualización tecnológica frecuente, sobre las herramientas y vulnerabilidades.
-Educar. Repetir los mensajes a los colaboradores desde distintas vías para fijarlos. Una buena práctica es generar sesiones con diferentes áreas de la compañía, administración, ventas, marketing, finanzas, recepción, etc. todos son vectores de ataques dentro de la organización y gestionan información valiosa y confidencial.
-Conocer sobre los ataques es mucho más importante que conocer la herramienta para defenderse.
-Trabajar sobre la importancia de la seguridad informática como cultura de la organización.
-Compartir la información en caso de ataque. Las organizaciones mejor preparadas son las que saben qué tipo de ataques se están llevando a cabo.
-Descentralizar los grandes bancos de información o sistemas de protección, cuanto más segmentado sea por servicio, más delimitado estará el ataque.
Como usuarios, recomendamos tomar la seguridad digital como la física; dimensionar la información y el patrimonio que ponemos en riesgo manejándonos despreocupadamente; internalizar los antecedentes que hayamos escuchado para evitar ser engañados en situaciones similares y siempre fortalecer las contraseñas.