Por Mazhar Hamayun (*)
A menudo se dice que los protocolos de seguridad más sofisticados pueden verse socavados por un solo clic de un empleado desinformado o descuidado. En este artículo, pretendo arrojar luz sobre el “factor humano”, a menudo pasado por alto, y ofrecer recomendaciones para ayudar a las empresas a reforzar este eslabón más débil de la cadena de ciberseguridad.
El panorama actual de las amenazas
El panorama mundial de la ciberseguridad es complejo y está en constante cambio, con nuevas vulnerabilidades y amenazas que surgen casi a diario. Hemos avanzado mucho en la implantación de arquitecturas de confianza cero, la implementación de algoritmos avanzados de inteligencia artificial (IA), cortafuegos, sistemas de detección de intrusiones y mucho más para salvaguardar nuestras organizaciones.
Sin embargo, es sorprendente observar que la mayoría de los incidentes de seguridad no son únicamente el resultado de sofisticadas técnicas de piratería informática, sino que a menudo se ven favorecidos por errores humanos.
Los errores humanos, como caer en correos electrónicos de phishing, prácticas de contraseñas débiles o fugas accidentales de datos, pueden hacer vulnerable la red fortificada de una organización. Estos errores no se limitan al personal subalterno; incluso los ejecutivos son presa de este tipo de ataques.
Es evidente que nadie es inmune, por lo que los factores humanos son una preocupación urgente para todas las organizaciones. Por ejemplo, la reciente brecha en los resorts MGM fue el resultado de una simple ingeniería social. El autor de la amenaza engañó al empleado del servicio de asistencia para que restableciera una contraseña sin información suficiente.
El coste de la negligencia
Descuidar el factor humano puede acarrear considerables pérdidas económicas, dañar la reputación y perder la confianza de los clientes. A veces, el daño es irreversible. Tras un incidente, las organizaciones suelen darse cuenta de que podrían haber evitado la brecha si hubieran invertido en medidas de seguridad centradas en el factor humano.
Además, a partir del 18 de diciembre de 2023, la SEC exigirá a las empresas públicas que informen de los incidentes cibernéticos materiales en un plazo de cuatro días hábiles. Esto aportará una mayor transparencia a los inversores y clientes, y también pondrá en el punto de mira a las empresas que sufran infracciones importantes.
Estrategias para reducir los riesgos de origen humano
En un mundo saturado de ciberamenazas, centrarse únicamente en soluciones tecnológicas es como construir una fortaleza pero dejar la puerta sin vigilancia. De hecho, Rupal Hollenbeck, Presidente de Check Point, suele decir que la ciberseguridad se trata realmente de “personas, procesos y tecnología, en ese orden”. Al aumentar la concienciación y la comprensión del factor humano en la ciberseguridad, las organizaciones pueden construir una defensa más sólida y completa contra las ciberamenazas.
En mi papel de arquitecto y evangelista, abogo firmemente por la integración de estrategias centradas en el ser humano en su enfoque de ciberseguridad. Recuerde que la estrategia de seguridad más eficaz es la que tiene en cuenta las vulnerabilidades tanto de las máquinas como de las personas.
En mi experiencia he visto a los CISO realizar ciertos cambios para reducir este riesgo, haciendo lo siguiente:
Ataques de phishing
El arte del engaño es la mejor herramienta de un hacker. Los empleados suelen ser víctimas de correos electrónicos o mensajes que parecen auténticos, pero que están diseñados para recopilar información confidencial o instalar malware. La mayoría de las organizaciones limitan su defensa al correo electrónico corporativo e ignoran el mayor vector de amenaza en torno a la defensa frente a amenazas móviles: proteger a los empleados para que no sean víctimas de un ataque de mensajes de texto o smishing a través de distintas aplicaciones de chat o correo electrónico personal que se ejecutan en el mismo dispositivo móvil. De hecho, el coste medio de una brecha de phishing es de 4,76 millones de dólares. Está claro que hay que centrarse en este aspecto para mejorar la protección.
Ciberformación
La mayoría de las organizaciones realizan un ejercicio de phishing puntual para satisfacer las necesidades de cumplimiento y olvidan que las
ciberamenazas evolucionan continuamente. Los empleados deben actualizar continuamente sus defensas contra estas amenazas en evolución.
Una formación periódica sobre buena ciberhigiene es muy importante para reducir las posibilidades de que un error humano provoque una brecha. La buena noticia es que hay muchas opciones de formación: desde salas de escape virtuales a juegos de phishing o cursos cibernéticos avanzados.
Gestión de credenciales
Los responsables de seguridad de todos los sectores tienen la difícil tarea de garantizar la protección de los activos digitales de su organización. Uno de los aspectos clave es la gestión de contraseñas. He aquí algunas de las mejores prácticas recomendadas.
- Arquitectura de confianza cero: Adoptar un modelo de confianza cero en el que ningún usuario o sistema sea de confianza por defecto. Todos deben someterse a verificación y autenticación, independientemente de su ubicación con respecto al perímetro de la red.
- Inicio de sesión único (SSO): Considere la implementación de soluciones SSO para reducir el número de contraseñas que un empleado necesita recordar. Sin embargo, asegúrese de que la propia solución SSO es extremadamente segura
- Autenticación multifactor (AMF): La implementación de MFA añade una capa adicional de seguridad, que normalmente implica algo que el usuario conoce (contraseña) y algo que el usuario tiene (un dispositivo móvil para recibir un código de un solo uso en una aplicación Authenticator o un mensaje de texto).
- Auditorías periódicas: Realiza auditorías periódicas para asegurarte de que se siguen las políticas de contraseñas. Muchos sistemas modernos permiten a los administradores ver si los usuarios reutilizan las contraseñas o si no las cambian con suficiente frecuencia.
- Políticas de bloqueo de cuentas: Implemente una política de bloqueo de cuentas que bloquee temporalmente las cuentas después de un cierto número de intentos fallidos de inicio de sesión. Esto puede frustrar los ataques de fuerza bruta, pero debe equilibrarse para no bloquear involuntariamente a los usuarios legítimos.
- Caducidad y rotación de contraseñas: Exigir regularmente a los usuarios que cambien sus contraseñas puede impedir que los atacantes obtengan un acceso prolongado a una cuenta. Sin embargo, esto debe equilibrarse, ya que los cambios muy frecuentes pueden dar lugar a malas elecciones de contraseñas.
Los cambios o mejoras no tecnológicos para reducir el riesgo
Según los datos y encuestas disponibles en el sector, los CISO y los directores generales también aprovechan las siguientes soluciones no tecnológicas para proteger sus organizaciones.
Implantar un sistema de control y gestión de cambios: No puedo exagerar la importancia de implantar un sistema de control de cambios con varios niveles de aprobación. En una era de complejas amenazas cibernéticas, el elemento humano se convierte a menudo en una vulnerabilidad. Un proceso de aprobación de varios niveles nos permite añadir capas de escrutinio, con la participación de diversas funciones, desde especialistas en tecnología hasta ejecutivos, reduciendo eficazmente los puntos únicos de fallo. Este enfoque minimiza los riesgos ligados al error humano y garantiza la alineación con nuestras estrategias de ciberseguridad. Sirve como sistema vital de control y equilibrio, haciendo que nuestra ciberdefensa sea más resistente y adaptable al cambiante panorama de las amenazas.
Cultura de responsabilidad
- Programas de recompensa: Implantar programas de recompensas por informar de vulnerabilidades o riesgos potenciales.
- Transparencia: Mantener un diálogo abierto sobre la importancia de la seguridad.
Gestión de riesgos de proveedores
- Diligencia debida: Realice la diligencia debida antes de incorporar nuevos proveedores. Asegúrese de que cumplen las normas de seguridad de su organización.
- Supervisión continua: Audite periódicamente el cumplimiento de la seguridad de los proveedores.
Marco jurídico
- Acuerdos de confidencialidad: Establece contratos legales para proteger la información confidencial.
- Auditorías periódicas: Garantizar el cumplimiento de las leyes de protección de datos y las normas del sector.
Plan de respuesta a incidentes: En el panorama en constante evolución de las amenazas a la ciberseguridad, ya no es cuestión de si se producirá un incidente de seguridad, sino de cuándo. Por ello, contar con un Plan de Respuesta a Incidentes (IRP) eficaz y un Equipo Rojo interno es indispensable para cualquier organización que se tome en serio su postura de ciberseguridad.
(*) Oficina del CTO, Check Point Software Technology.