El error humano es el eslabón más débil de la cadena de seguridad cibernética; aquí hay tres formas de solucionarlo

A pesar de los enormes avances en seguridad cibernética, una debilidad continúa eclipsando a todas las demás: el error humano.

Investigación ha demostrado constantemente que el error humano es responsable de una abrumadora mayoría de ataques cibernéticos exitosos. A informe reciente sitúa la cifra en el 68%.

No importa cuán avanzadas estén nuestras defensas tecnológicas, es probable que el elemento humano siga siendo el eslabón más débil de la cadena de seguridad cibernética. Esta debilidad afecta a todos los que utilizan dispositivos digitales, pero los programas tradicionales de educación y concientización cibernética (e incluso las nuevas leyes con visión de futuro) no logran abordarla adecuadamente.

Entonces, ¿cómo podemos abordar los desafíos relacionados con la ciberseguridad centrados en el ser humano?

Comprender el error humano

Existen dos tipos de errores humanos en el contexto de la ciberseguridad.

El primero son los errores basados ​​en habilidades. Estos ocurren cuando las personas hacen cosas rutinarias, especialmente cuando su atención está desviada.

Por ejemplo, es posible que olvide hacer una copia de seguridad de los datos del escritorio desde su computadora. Sabes que debes hacerlo y sabes cómo hacerlo (porque lo has hecho antes). Pero como necesitas llegar temprano a casa, olvidaste cuándo lo hiciste por última vez o tenías muchos correos electrónicos que responder, no lo haces. Esto puede exponerlo más a las exigencias de un pirata informático en caso de un ciberataque, ya que no existen alternativas para recuperar los datos originales.

El segundo tipo son los errores basados ​​en el conocimiento. Estos ocurren cuando alguien con menos experiencia comete errores de seguridad cibernética porque carece de conocimientos importantes o no sigue reglas específicas.

Por ejemplo, puedes hacer clic en un enlace de un correo electrónico de un contacto desconocido, incluso si no sabes qué sucederá. Esto podría provocar que usted sea pirateado y pierda su dinero y sus datos, ya que el enlace podría contener malware peligroso.

Los enfoques tradicionales se quedan cortos

Las organizaciones y los gobiernos han invertido mucho en programas educativos sobre seguridad cibernética para abordar el error humano. Sin embargo, estos programas han tenido resultados mixtos en el mejor de los casos.

Esto se debe en parte a que muchos programas adoptan un enfoque único y centrado en la tecnología. A menudo se centran en aspectos técnicos específicos, como mejorar la higiene de las contraseñas o implementar la autenticación multifactor. Sin embargo, no abordan los problemas psicológicos y conductuales subyacentes que influyen en las acciones de las personas.

La realidad es que cambiar el comportamiento humano es mucho más complejo que simplemente proporcionar información o imponer ciertas prácticas. Esto es especialmente cierto en el contexto de la ciberseguridad.

Campañas de salud pública como la iniciativa de protección solar «slip, slop, slap» en Australia y Nueva Zelanda ilustran lo que funciona.

Desde que comenzó esta campaña hace cuatro décadas, los casos de melanoma en ambos países han caído significativamente. El cambio de comportamiento requiere una inversión continua para promover la conciencia.

El mismo principio se aplica a la educación en seguridad cibernética. El hecho de que las personas conozcan las mejores prácticas no significa que las aplicarán consistentemente, especialmente cuando se enfrentan a prioridades contrapuestas o presiones de tiempo.

Las nuevas leyes se quedan cortas

La propuesta del gobierno australiano ley de seguridad cibernética se centra en varias áreas clave, que incluyen:

• combatir los ataques de ransomware
• mejorar el intercambio de información entre empresas y agencias gubernamentales
• Fortalecer la protección de datos en sectores de infraestructura críticos, como la energía, el transporte y las comunicaciones.
• ampliar los poderes de investigación de incidentes cibernéticos
• introducir estándares mínimos de seguridad para dispositivos inteligentes.

Estas medidas son cruciales. Sin embargo, al igual que los programas tradicionales de educación en seguridad cibernética, abordan principalmente aspectos técnicos y de procedimiento de la seguridad cibernética.

Estados Unidos está adoptando un enfoque diferente. Es Plan Estratégico Federal de Investigación y Desarrollo en Ciberseguridad incluye la «ciberseguridad centrada en el ser humano» como su primera y más importante prioridad.

El plan dice: «Se necesita un mayor énfasis en enfoques de ciberseguridad centrados en el ser humano, donde las necesidades, motivaciones, comportamientos y habilidades de las personas estén a la vanguardia para determinar el diseño, operación y seguridad de los sistemas de tecnología de la información».

Tres reglas para la ciberseguridad centrada en el ser humano

Entonces, ¿cómo podemos abordar adecuadamente la cuestión del error humano en la ciberseguridad? A continuación presentamos tres estrategias clave basadas en últimas investigaciones.

1. Minimizar la carga cognitiva. Las prácticas de ciberseguridad deben diseñarse para que sean lo más intuitivas y sencillas posible. Los programas de capacitación deben centrarse en simplificar conceptos complejos e integrar prácticas de seguridad sin problemas en los flujos de trabajo diarios.

2. Fomentar una actitud positiva en materia de ciberseguridad. En lugar de depender de tácticas de miedo, la educación debería enfatizar los resultados positivos de las buenas prácticas de ciberseguridad. Este enfoque puede ayudar a motivar a las personas a mejorar sus comportamientos de seguridad cibernética.

3. Adoptar una perspectiva a largo plazo. Cambiar actitudes y comportamientos no es un evento único sino un proceso continuo. La educación sobre seguridad cibernética debe ser continua, con actualizaciones periódicas para abordar las amenazas en evolución.

En última instancia, crear un entorno digital verdaderamente seguro requiere un enfoque holístico. Debe combinar tecnología sólida, políticas sólidas y, lo más importante, garantizar que las personas estén bien educadas y sean conscientes de la seguridad.

Si podemos comprender mejor qué hay detrás del error humano, podremos diseñar programas de capacitación y prácticas de seguridad más efectivas que trabajen a favor de la naturaleza humana, y no en contra.

Este artículo se republica desde La conversación bajo una licencia Creative Commons. Lea el artículo original.