Existen numerosos materiales que tratan sobre los ajustes necesarios en los elementos físicos, técnicos y administrativos que conforman la infraestructura de información de una organización. Estos materiales abordan las últimas tecnologías, los estándares de la industria y las mejores prácticas. Sin embargo, un aspecto crucial a menudo mencionado es la intervención del factor humano.
El papel del factor humano en la seguridad
En el ámbito de la seguridad, los estadounidenses utilizan el término “enforcement” o “hacer cumplir”. Este concepto es vital, ya que mientras haya intervención humana en procesos no automatizados, siempre habrá riesgos como la negligencia, la colusión, el fraude o la divulgación no autorizada de información. Estos factores pueden comprometer incluso las mejores tecnologías y el valor de la empresa.
La ruta de ataque más común: el factor humano
Los ciberdelincuentes suelen aprovechar la vía más fácil para atacar una organización, que muchas veces es el personal vulnerable. Mediante ingeniería social, los atacantes pueden ir escalando privilegios hasta comprometer la seguridad de toda la empresa.
Entrenamiento de concientización en seguridad
Es fundamental que las empresas implementen un entrenamiento de concientización dirigido principalmente a los empleados no técnicos. Estos deben adquirir un nivel básico de conocimiento sobre cómo colaborar en la seguridad de la organización. La concientización no solo debe limitarse a los empleados no técnicos; cada audiencia debe recibir un entrenamiento adecuado para maximizar su efectividad.
El impacto del ransomware
El ransomware y otras amenazas similares serían mucho menos efectivas si las personas supieran:
- No abrir contenido del cual no están seguros.
- Desarrollar buenos hábitos en el uso de dispositivos.
- Mantener sus sistemas actualizados.
Anecdotario: la importancia de los controles de acceso
Durante un viaje de trabajo, tuve una experiencia que me recordó la importancia del control de acceso. Intenté entregar información de mi empresa a una organización, pero me encontré con un vigilante que seguía estrictamente los protocolos de seguridad. Este incidente subraya la importancia de los controles en los perímetros de seguridad y el principio de hacer solo lo estrictamente necesario para cumplir con la función asignada.
