¿Qué es el factor humano?
Puede definirse al factor humano como el trabajo que aporta el conjunto de los empleados o colaboradores de una organización. Se suele decir que es el capital más valioso, y se debe a que es esencialmente intangible (conocimientos, experiencia, habilidades, etc.).
¿Por qué tiene un rol tan importante en la ciberseguridad?
Incluso la organización con la mejor infraestructura, que utilice los mejores protocolos basados en seguridad, los mecanismos más avanzados de criptografía y las herramientas más eficaces de monitoreo, puede tener problemas si descuida el factor humano.
Dejar el equipo con la sesión abierta e irse a comer, tener anotada una contraseña en un papel sobre el escritorio, otorgarle permisos a un empleado muy disconforme con la organización y/o no alineado a su cultura, pueden ser causales de importantes dolores de cabeza.
¿Qué puede hacer una organización?
El primer paso que debe hacer una organización es tomar conciencia de lo mencionado anteriormente. Numerosos estudios demuestran que la mayoría de los ciberataques se producen por el factor humano, ya sea por descuidos (dejar sesión abierta), por falta de escepticismo (al hacer click en un link de un e-mail), etc. El aumento exponencial de los dispositivos conectados a la red y de la información transmitida por dichos canales, también aumenta exponencialmente los riesgos.
Luego, designar un responsable encargado de la ciberseguridad, con la suficiente capacidad, jerarquía y responsabilidad para tomar decisiones, apoyado por la Alta Dirección, con habilidades interpersonales para trabajar con otros sectores y liderazgo.
Otro paso necesario consiste en redactar documentos. Políticas, programas, planes, carteles, folletos, etc. En lo posible, inspirados en estándares internacionales, adaptados a las necesidades de la organización y claros (es decir, evitando ambigüedades).
El "firewall humano"
Más allá de lo expuesto, todo ello debe estar respaldado por un aspecto central: las personas. Esto incluye construir una cultura corporativa que contemple la ciberseguridad, capacitar a los empleados (y colaboradores, de corresponder) y una amplia gama de medidas que contribuyan a disminuir los riesgos (simulación de técnicas de ingeniería social, por ejemplo). Respecto a esto último, la detección de “empleados infieles” también posee cierta relevancia.
Como puede observarse, la ciberseguridad es una cuestión compleja y requiere de una ejecución integral que incluya al factor humano. Siempre basados en un enfoque de riesgos, cuantos más caminos se gestionen de forma segura, menos caminos quedarán expuestos a ataques. Para tal fin, Para tal fin, potenciar el desarrollo del “firewall humano” que actúe como una línea de defensa más resulta imprescindible.