No hay una sola persona viva que nunca cometa errores. De hecho, cometer errores es una parte fundamental de la experiencia humana: es la forma en que desarrollamos y aprendemos. Sin embargo, en el ámbito de la ciberseguridad, los errores humanos se pasan por alto con demasiada frecuencia.
Según un estudio de IBM, el error humano es la causa principal del 95% de las violaciones de la ciberseguridad. En otras palabras, si se eliminara por completo el error humano, ¡19 de cada 20 violaciones de la ciberseguridad no habrían tenido lugar!
Así pues, ¿por qué el error humano causa tantas filtraciones, y por qué las soluciones existentes no han conseguido resolverlo? Echemos un vistazo a la historia del error humano y a lo que puede hacer para mejorar el comportamiento cibernético de los empleados en tu organización.
Cuando se habla del error humano en la ciberseguridad, lo que se entiende por el término es ligeramente diferente de su uso en términos más generales.
En el contexto de la seguridad, se entiende por error humano las acciones involuntarias -o la falta de acción- de los empleados y usuarios que provocan, propagan o permiten que se produzca una violación de la seguridad.
Esto abarca una amplia gama de acciones -desde la descarga de un archivo adjunto infectado con malware hasta no utilizar una contraseña segura-, lo cual es en parte la razón por la que puede ser tan difícil de abordar.
Con nuestros entornos de trabajo cada vez más avanzados y complicados, tenemos un número creciente de herramientas y servicios que utilizamos, y tenemos nombres de usuario y contraseñas y otras cosas que recordar para cada uno de ellos. Todo esto se acumula, y cuando no se proporcionan soluciones alternativas y seguras, los empleados empiezan a tomar atajos para hacerse la vida más fácil.
Por si esto no fuera suficiente para que los usuarios finales se esfuercen por tomar las medidas adecuadas, también tienen que lidiar con la amenaza constante de los ciberdelincuentes que influyen en sus decisiones. La ingeniería social tiene un papel cada vez más importante en todo tipo de violaciones de la seguridad, y se utiliza para explotar la capacidad de los empleados de entregar datos o credenciales directamente en manos de los malos actores sin que tengan que escribir una sola línea de un programa malicioso o un exploit de software.
Aunque las posibilidades de error humano son casi infinitas, pueden clasificarse en dos tipos diferentes: errores basados en la habilidad y errores basados en la decisión. La diferencia entre estos dos se reduce esencialmente a si la persona tenía o no los conocimientos necesarios para realizar la acción correcta.
El error humano basado en la habilidad consiste en deslices y lapsus: pequeños errores que se producen al realizar tareas y actividades conocidas. En estos casos, el usuario final sabe cuál es la acción correcta, pero no la lleva a cabo debido a un lapsus temporal, un error o una negligencia. Esto puede ocurrir porque el empleado está cansado, no presta atención, está distraído o tiene un breve lapsus de memoria.
Los errores de decisión se producen cuando un usuario toma una decisión errónea. Puede haber varios factores que influyan en ello: a menudo se trata de que el usuario no tenga el nivel de conocimientos necesario, no tenga suficiente información sobre la circunstancia concreta o ni siquiera se dé cuenta de que está tomando una decisión por su inacción.
Descubre cómo usecure ayuda a las empresas a impulsar un comportamiento seguro con una formación de concienciación sobre ciberseguridad automatizada de forma inteligente, que a tus empleados les encantará.
El envío erróneo -enviar algo a un destinatario equivocado- es una amenaza común para la seguridad de los datos corporativos. Según el informe de filtraciones de 2018 de Verizon, el envío erróneo fue la quinta causa más común de todas las filtraciones de ciberseguridad. Con muchas personas que confían en funciones como la autosugestión en sus clientes de correo electrónico, es fácil que cualquier usuario envíe accidentalmente información confidencial a la persona equivocada si no tiene cuidado.
Los humanos y las contraseñas simplemente no se llevan bien. Los datos del informe de 2019 del Centro Nacional de Ciberseguridad arrojan una imagen nefasta: 123456 sigue siendo la contraseña más popular del mundo, y el 45% de las personas reutiliza la contraseña de su cuenta de correo electrónico principal en otros servicios. Además de no crear contraseñas fuertes y únicas, los usuarios sin formación cometen muchos otros errores con las contraseñas, como anotarlas en notas adhesivas en sus monitores o compartirlas con sus compañeros.
Los ciberdelincuentes buscan siempre nuevos exploits en el software. Cuando se descubren los exploits, los desarrolladores de software se apresuran a corregir la vulnerabilidad y a enviar el parche a todos los usuarios antes de que los ciberdelincuentes puedan comprometer a más usuarios. Por eso es esencial que los usuarios instalen las actualizaciones de seguridad en sus ordenadores tan pronto como estén disponibles. Lamentablemente, la mayoría de los usuarios finales retrasan la instalación de las actualizaciones, con resultados nefastos.
Aunque las filtraciones de datos se atribuyen con mayor frecuencia a los ciberataques, las empresas también están expuestas a las amenazas físicas. La información confidencial y las credenciales pueden ser robadas o vistas por personas no autorizadas si acceden a locales seguros.
Los errores de seguridad física son muy variados, pero uno de los más comunes es dejar documentos sensibles sin vigilancia en las mesas, salas de reuniones o incluso en las bandejas de salida de las impresoras. Cualquiera que acceda a las instalaciones de la empresa puede coger el documento sin que nadie se dé cuenta de que ha desaparecido.
Otro error de seguridad física muy común es permitir el 'rebufo'. Se trata de que una persona no autorizada siga a otra a través de una puerta o barrera de seguridad, normalmente caminando detrás de ella. A muchos empleados les parecerá grosero rebatir a alguien que les siga por la puerta, lo que garantiza un alto porcentaje de éxito en los intentos de ir a rebufo.
Hay una gran variedad de factores que influyen en el error humano, pero la mayoría se reducen a estos tres: oportunidad, entorno y falta de conciencia.
El error humano sólo puede producirse cuando hay una oportunidad que lo permita. Aunque parezca obvio, la cuestión es que cuantas más oportunidades haya para que algo salga mal, mayor será la probabilidad de que se cometa un error en algún momento.
Hay muchos factores relacionados con el entorno que pueden aumentar la probabilidad de que se produzcan errores.
El entorno físico de un lugar de trabajo puede contribuir significativamente al número de errores que se producen. Cualquier trabajador de una obra de construcción dirá que los errores son más frecuentes en días de calor o frío intenso, pero estas consideraciones también se aplican a las oficinas. Aunque la temperatura adecuada de la oficina es una consideración importante, la privacidad, el nivel de ruido y la postura son factores que pueden contribuir a un entorno más propenso a los errores.
Gran parte del error humano se debe a que los usuarios finales simplemente no saben lo que deben hacer desde el principio. Por ejemplo, los usuarios que no son conscientes del riesgo de phishing son mucho más propensos a ser víctimas de estafas de phishing, y alguien que no conozca los riesgos de las redes Wi-Fi públicas verá rápidamente sus credenciales robadas. La falta de conocimientos casi nunca es culpa del usuario, sino que la empresa debe ocuparse de garantizar que sus usuarios finales tengan los conocimientos y habilidades necesarios para mantenerse seguros ellos mismos y la empresa.
El error humano sólo puede producirse cuando hay una oportunidad que lo permita, por lo que es esencial eliminar las oportunidades de error en la medida de lo posible. Al mismo tiempo, los usuarios finales seguirán cometiendo errores si no saben cómo actuar correctamente y cuáles son los riesgos. Para superar esta brecha, es esencial abordar el error humano desde ambos lados para crear una defensa integral para tu empresa.
Cambiar las prácticas de trabajo, las rutinas y las tecnologías para reducir sistemáticamente las oportunidades de error es la mejor manera de comenzar los esfuerzos de mitigación. Aunque la forma de conseguirlo dependerá de las actividades y entornos específicos de tu empresa, existen algunas pautas comunes para mitigar las oportunidades de error humano.
Control de privilegios: asegúrate de que tus usuarios sólo tienen acceso a los datos y funcionalidades que necesitan para desempeñar sus funciones. Esto reduce la cantidad de información que quedará expuesta, incluso si el usuario comete un error que conduzca a una filtración de datos.
Gestión de contraseñas: dado que los errores relacionados con las contraseñas son uno de los principales riesgos de error humano, alejar a tus usuarios de las contraseñas puede ayudar a reducir los riesgos. Las aplicaciones de gestión de contraseñas permiten a los usuarios crear y almacenar contraseñas seguras sin tener que recordarlas o arriesgarse a escribirlas en notas adhesivas. También debería imponer el uso de la autenticación de dos factores en toda su empresa para añadir una capa adicional de protección a las cuentas.
Una cultura centrada en la seguridad es fundamental para reducir los errores humanos. En una cultura de seguridad, la seguridad se tiene en cuenta en cada decisión y acción, y los usuarios finales buscarán y discutirán activamente los problemas de seguridad cuando los encuentren.
Hay una serie de cosas que puede hacer para ayudar a crear una cultura de seguridad en tu empresa.
Fomentar la conversación. Una de las mejores maneras de garantizar que la seguridad se mantenga en primera línea es hacer que la gente hable de ella. Plantea temas de debate en torno a la seguridad y asegúrate de que sean relevantes para las actividades laborales cotidianas de tus usuarios finales, de modo que sea más probable que se comprometan. Esto les ayudará a ver lo que pueden hacer personalmente para ayudar a mantener la seguridad de la empresa.
Facilitar las preguntas. Como parte del proceso de aprendizaje, es probable que los usuarios finales se topen con muchas situaciones en las que no estén seguros de las implicaciones de seguridad. En estas situaciones, es preferible que te pregunten a ti o a otra persona con conocimientos en lugar de adivinar y arriesgarse a tomar la decisión equivocada. Asegúrate de que siempre haya alguien disponible para responder a las preguntas de los usuarios finales de forma amistosa, y recompensa a los usuarios que planteen buenas preguntas.
Utilizar carteles y recordatorios. Los carteles y consejos de seguridad sirven como pequeños recordatorios para ayudar a garantizar que los usuarios finales piensen en la seguridad a lo largo de su jornada laboral. Un póster con información sobre contraseñas seguras permitirá, por ejemplo, que los usuarios vean fácilmente cuáles son los requisitos para mantener seguras las cuentas de la empresa.
Si bien es esencial reducir las oportunidades de error, también hay que abordar las causas de error desde un ángulo humano. Educar a tus empleados en los fundamentos de la seguridad y en las mejores prácticas les permite tomar mejores decisiones, y les permite tener la seguridad en mente y buscar más ayuda cuando no están seguros de cuáles son las consecuencias de una determinada acción.
Formar a los empleados en todos los temas básicos de seguridad: dado que el error humano puede manifestarse de muy diversas maneras, es esencial formar a los empleados en un nivel básico sobre cualquier tema de seguridad que puedan encontrar en sus actividades laborales cotidianas. El uso del correo electrónico, de Internet y de las redes sociales, así como la formación en materia de phishing y malware, son algunos de los temas que debe cubrir la formación.
Empezamos este artículo con una estadística aterradora sobre el número de infracciones causadas por errores humanos, pero hay otra forma de ver esa estadística. Si el 95% de las filtraciones son causadas por errores humanos, tomar incluso los pasos más pequeños para reducir los errores humanos puede crear enormes ganancias en seguridad.
La mitigación del error humano tiene dos aspectos: reducir las oportunidades y educar a los usuarios. Cuantas menos oportunidades haya de cometer errores, menos se pondrá a prueba el conocimiento de los usuarios, y cuanto más conocimiento tengan los usuarios, menos probable será que cometan un error incluso cuando se encuentren con una oportunidad de hacerlo.
El enfoque que promovemos en usecure te anima a ver el riesgo humano desde una perspectiva diferente. Aunque los usuarios finales sin formación pueden ser el eslabón más débil de la seguridad de tu empresa, las herramientas y la formación adecuadas te permiten convertirlos en tu primera línea de defensa contra cualquier ataque o infracción, protegiendo tu negocio a largo plazo.
Para obtener más información sobre nuestros programas de formación en materia de seguridad, automatizados de forma inteligente y centrados en el usuario, haz clic en el siguiente enlace.
usecure es la solución de gestión de riesgos humanos que permite a las empresas reducir los incidentes de seguridad relacionados con los usuarios, crear una plantilla ciberresistente y alcanzar los estándares de cumplimiento mediante programas de formación de usuarios automatizados.
Con la confianza de los principales profesionales de TI y proveedores de servicios gestionados (MSP), usecure analiza, reduce y supervisa el riesgo cibernético humano a través de programas de formación de concienciación de seguridad basados en el riesgo, campañas de phishing simuladas, gestión simplificada de políticas y supervisión continua de infracciones en la web oscura, todo ello desde una sola plataforma.