Panda SecurityDespués de décadas trabajando en arquitecturas de seguridad cada vez más completas y seguras, empresas y organizaciones de todo tipo se están dando cuenta de que, por sí solas, las herramientas y tecnologías de ciberseguridad no bastan para mitigar los riesgos.
A medida que las defensas tecnológicas se vuelven más sofisticadas y sólidas, los hackers también se adaptan y varían sus estrategias. Ya no se centran únicamente en explotar las vulnerabilidades de la infraestructura, sino que en su lugar buscan cada vez más influir el comportamiento humano. En la mayoría de las amenazas más usadas en la actualidad, el vector de ataque inicial no es un exploit tecnológico de día cero, sino aprovechar las vulnerabilidades de las personas a través de la ingeniería social.
Por qué el factor humano es clave en la ciberseguridad
Las investigaciones confirman que el riesgo humano es el principal factor que provoca infracciones a nivel mundial. Algunos informes apuntan a que casi el 60 % de todas las infracciones cometidas en 2024 tuvieron su origen en un componente humano. No obstante, en este contexto, es importante abordar errores comunes.
La frase “las personas son el eslabón más débil”, utilizada a menudo, implica que los empleados son los culpables de las brechas y violaciones de seguridad, cuando en realidad, en la mayoría de los casos, ése no es el problema: no es tanto que los usuarios fallen en materia de seguridad, sino que es el entorno de seguridad el que les está fallando.
Al mismo tiempo, a menudo los procesos para erigir defensas se complican innecesariamente. En ocasiones los conceptos se comunican en un lenguaje técnico confuso y abrumador para los usuarios, con políticas poco adaptadas al uso cotidiano de las herramientas, lo que lleva a que se ignoren.
Los expertos subrayan que reducir de manera eficaz el riesgo humano no es solo cuestión de adoptar más tecnologías o aplicar políticas. Se trata también de instaurar una cultura sólida de seguridad corporativa que simplifique y respalde comportamientos que adopten mejores hábitos.
¿Cómo se construye una mejor cultura de la ciberseguridad?
La cultura de ciberseguridad, por definición, es el conjunto de percepciones, creencias y actitudes compartidas para la protección en toda la organización. Y cuando falla, como cuando se considera tarea de otros o se ve como un obstáculo para la productividad, el grado de riesgo aumenta exponencialmente.
La seguridad debe integrarse en la forma de trabajar de las personas, en lugar de añadirse como un elemento externo que se espera que ellas mismas apliquen. Si las organizaciones quieren que sus empleados actúen de forma segura, deben crear las condiciones que favorezcan ese tipo de comportamiento.
Los empleados adaptan su comportamiento en función de lo que el entorno recompensa, permite y espera. La seguridad no es diferente. Para reforzar la cultura de la seguridad, hay que centrarse en diseñar un entorno cotidiano que moldee las percepciones y decisiones de las personas.
En la práctica, esto significa evaluar los factores cruciales para impulsar la cultura de la ciberseguridad: modelos, el diseño de políticas adecuadas, la formación y el apoyo de los servicios informáticos. Estas cuatro áreas también proporcionan un marco para poder medir la evolución y para diagnosticar el estado de esa cultura.
