Opinión
Ciberseguridad
Especial Ciberataques 2022 CSO

Un cambio de tercio inesperado en la gestión de la ciberseguridad: el factor humano

Para afrontar con éxito el contexto actual y tomar la iniciativa en materia de ciberseguridad es necesario aprovechar el recurso más preciado: el factor humano.

Personas con ordenador, estudiantes
Créditos: John Schnobrich / Unsplash

Desde 2004, se viene celebrando el mes de concienciación sobre la ciberseguridad.  Mucho ha cambiado el entorno de la ciberseguridad -y el mundo, en general- desde entonces. Al igual que la automatización, se dispararon tras la pandemia la digitalización, la adopción de la nube, la inteligencia artificial (IA) y el machine learning  (aprendizaje automático), y está teniendo lugar una transformación digital sin precedentes.

Esto es una gran noticia para las empresas, pues implica reforzar su productividad sin necesidad de sobrecargar a su capital humano. Un aspecto esencial, teniendo en cuenta que existe una escasez masiva de trabajadores TI a nivel global, y los que se mantienen, están desubicados y dispersos.

Por otra parte, a medida que la tecnología utilizada para gestionar el entorno laboral se basa cada vez más en la IA/ML –y esto es así no sólo en ciberseguridad,  sino en casi todos los ámbitos–, que empieza a tenerse en cuenta como elemento decisivo al que hasta ahora no se ha prestado la debida atención.

 

La clave está en el factor humano

Cuando se trata de reforzar la postura de ciberseguridad, son las personas las que están alterando las reglas del juego. Algo que no deja de ser una contradicción, teniendo en cuenta que el mundo avanza hacia la IA, el ML y la automatización precisamente para minimizar la intervención humana.

La clave está en entender bien el concepto, pues con la IA, el ML y la automatización no se pretende minimizar la importancia de los humanos. Al contrario, a lo que se aspira es a liberarles de  actividades  rutinarias y repetitivas, así como de  cualquier tarea que implique la gestión a gran escala de ciberamenazas y el  procesamiento de datos que conlleve un alto riesgo de error humano. Es aquí donde la intervención humana resulta especialmente crítica.

En la IA y el ML se necesitan datos para detectar un patrón o predecir cuáles serán los siguientes pasos. Teniendo en cuenta la naturaleza dinámica de las ciberamenazas, los humanos continúan desempeñando un papel esencial, pues son excelentes para comprender, razonar y matizar, mientras que en la IA y el ML siempre existe un desfase. Confiar únicamente en ellos, supone una puesta al día en cuanto a innovación, permitiendo a las máquinas hacer su trabajo de conversión de los datos en conocimiento.

Para que las máquinas sean eficaces, los datos tienen que estar etiquetados. El etiquetado también puede automatizarse, y para ello las personas deben determinar e introducir las etiquetas correctas. Desde el punto de vista humano, se trata de una actividad estratégica, lejos de la simple identificación de acciones rutinarias que pueden y deben ser automatizadas.

 

Experiencia digital

Las máquinas tienen la capacidad de hacer posible la experiencia digital de los empleados, pero corresponde a los humanos decidir qué herramientas se van a implementar, y cómo se van a utilizar y a reforzar. Incluso las mejores herramientas del mundo resultarán inútiles si los responsables tecnológicos no las eligen y las hacen accesibles a sus equipos.

 

Escribir un código seguro

Cuando se trata de escribir un código eficaz y seguro, las máquinas no están todavía a la altura de los humanos, pues son incapaces de pensar y desarrollar estrategias. Sin embargo, una vez escrito el código, las máquinas pueden implementarlo y comprobarlo. No se trata de humanos o máquinas, ni de humanos versus máquinas. Son los humanos y las máquinas. Ese es el nuevo mantra.

Cuando la automatización libera a las personas de actividades rutinarias que roban su tiempo, la importancia de la intervención humana se magnifica, pues disponen de más tiempo para actuar de forma estratégica y proactiva, pudiendo centrarse en innovar y corregir, en lugar de recopilar datos y clasificar.

La ingente carga de trabajo que conlleva este tipo de tareas rutinarias es real y reconocida por quien tiene que asumirlas.  Según un reciente estudio de Ivanti, el 71% de los profesionales de TI y ciberseguridad afirmaba que la aplicación de parches les resultaba demasiado largo, complejo y engorroso, y más de la mitad reconoció que organizar y priorizar las vulnerabilidades críticas ocupaba la mayor parte de su tiempo. ¿Cómo sería si esas tareas estuvieran automatizadas? Sin lugar a dudas, infinitamente más estratégicas, innovadoras y proactivas.

Por otra parte,  son los humanos a quienes corresponde construir o quebrar la postura de  ciberseguridad de una empresa. Como ejemplos:

- Una postura de seguridad se debilita cada vez que un usuario final acepta un enlace de phishing o no sigue los protocolos de las contraseñas.

- Corresponde a los equipos de seguridad decidir el refuerzo que debe aplicarse a los protocolos, cómo aplicarlos y el nivel de calidad de las plataformas en las que invierten.

- Los equipos de seguridad son quienes deciden si utilizaránprogramas de parches inteligentes, basados en el riesgo y priorizados, o si afrontarán las amenazas según convengan.

Por tanto,  el  factor humano sobrepasa los límites de la ciberseguridad y su influencia afecta al entorno tecnológico en su conjunto, pues:

- Los resultados de los datos son tan fuertes como las entradas que las personas han reunido.

- Hasta que se interpretan y se convierten en políticas y acciones, los datos son solo números.

Así pues, los avances tecnológicos deberían servir para ayudar a los humanos a ser más eficientes y tomar mejores decisiones. Las tareas pueden cambiar, pero las personas son insustituibles.

También y no menos importante, la innovación tecnológica debería contribuir a facilitar el trabajo y la vida de las personas, no a dificultarlo. Con demasiada frecuencia, la seguridad y la experiencia de los empleados están reñidas. Una seguridad estricta, por muy necesaria que sea, puede suponer un exceso de carga de trabajo para los empleados. Y esto no tendría que ser así, pues el éxito radica en la capacidad de ofrecer una óptima experiencia digital a los empleados, algo que se consigue con el establecimiento de medidas de seguridad proactivas y flexibles.  

Por último, y aunque la ciberseguridad está entre las principales prioridades presupuestarias de una mayoría de la alta dirección, parece que aún así no es suficiente. Realmente, el éxito está en no limitarse en hacer de la seguridad una prioridad, sino en vigilar que sea una prioridad fácil de gestionar. Pues si resulta extremadamente difícil de gestionar, su adopción y cumplimiento se verán seriamente afectados, y nadie saldrá beneficiado.

Es ahora el momento para que las organizaciones se alineen con las mejores prácticas de seguridad; ahora, antes de que sea demasiado tarde. El espectacular crecimiento de la adopción de la nube y la disrupción digital en todos los sectores, ha ampliado exponencialmente las superficies de ataque y el radio de acción de los atacantes. Para afrontar con éxito esta situación y tomar la iniciativa en materia de ciberseguridad, además de entender mejor la postura de seguridad, es necesario aprovechar el recurso más preciado: el factor humano. Las máquinas solo están ahí para ayudar.

La ciberseguridad nos afecta a todos y a todo; a fin de cuentas, existe para proteger la información. En última instancia, tanto si el titular de esa información es una persona, una empresa o un país, al final todo se reduce a proteger a las personas, como titulares de esa información: su identidad, su reputación, su privacidad, su seguridad laboral, su confianza en una empresa, su presupuesto, su seguridad... Es humano. Siempre es el factor humano. Protejámonos unos a otros.

 

El autor de este artículo es Daniel Madero, regional sales director de Ivanti.



TE PUEDE INTERESAR...

LEGISLACIÓN

Luz verde a NIS2

Revistas Digitales

DealerWorld Digital

IDG Research

Registro:

Eventos:

 

Partnerzones