Como “parchar” al ser humano en ciberseguridad

Escuela Europea de Gerencia

Categoría:

Fecha del Post:

22 de junio de 2022

Crédito de la foto: American Friends of Tel Aviv University (AFTAU)


En tecnología cuando hablamos de “parchar” algo, nos referimos a las actualizaciones de los sistemas por parte de los fabricantes de hardware y desarrolladores de software que tienen como finalidad alcanzar tres objetivos: resolver problemas de seguridad y vulnerabilidades reportados, la corrección de errores y por último mejorar las debilidades de funcionalidad detectadas.

Es decir, parchar un sistema supone una mejora tanto para la seguridad, como para la funcionalidad y corrección de errores.

A lo largo de mi carrera en el mundo de la tecnología y la innovación he venido escuchado, y repitiendo, múltiples frases que atribuyen la mayoría de los errores de ciberseguridad al factor humano.

Luego de un largo análisis y retrospección he llegado a la conclusión de que muchas veces los equipos de tecnología de las organizaciones menosprecian, culpan y subestiman a sus usuarios haciéndolos responsables de los errores y brechas de seguridad.

Errores y brechas que ocurren incluso, por una deficiente o relajada configuración de los elementos de seguridad que ofrecen un sinnúmero de herramientas para evitar o mitigar esos “errores de usuario” o por el simple hecho de no recibir formación y entrenamiento formal en el ámbito de la seguridad de la información

¿Se puede realmente parchar al usuario?

Acompáñenme en este artículo donde intentaré cambiar la percepción general que responsabiliza al factor humano como el eslabón más delgado de la cadena de la ciberseguridad. De igual forma pretendo arrojar luz sobre la forma en que podemos convertir a nuestros usuarios en la capa de seguridad más fuerte e importante, tanto a nivel de nuestras organizaciones, como a nivel personal.

A qué nos referimos cuando planteamos la interrogante: ¿Es el usuario parcheable? Exactamente, nos referimos a procurar que el usuario no tenga vulnerabilidades, que sea funcional a la hora de apoyar a los equipos de tecnología, combatir a los ciberdelincuentes, detectar los errores y, finalmente, que tenga siempre una mejora continua cuando trabaje con tecnología.

Para ello, es necesario crear una relación de respeto y confianza basada en una comunicación oportuna y efectiva construyendo así la primera línea de defensa.

¿Subestimando al eslabón más importante?

Durante mis años de experiencia en el mundo de la ciberseguridad y la tecnología he escuchado, y repetido, frases como: “Es un error de capa 8”. Esta frase describe el flujo de información para el protocolo OSI (TCP/IP), un protocolo que tiene tan solo 7 capas, por lo que la octava capa se refiere claramente al usuario.

Existen otras frases más elaboradas como PEBKAC (Problem Exists Between Keyboard And Chair por sus siglas en inglés): El problema existe entre el teclado y la silla. Este término es utilizado por los técnicos informáticos y los profesionales de TI para describir un error del usuario.

Es común y reiterativo el uso de la famosa ley de la cadena que es especialmente utilizada en ciberseguridad para describir el papel de los usuarios diciendo: “Una cadena será tan fuerte como su eslabón más débil”. Vemos, nuevamente, cómo siempre es el usuario el eslabón más delgado, más débil o el “eslabón” por donde siempre se romperá la cadena.

Una cadena será tan fuerte como su eslabón más débil

Una cadena será tan fuerte como su eslabón más débil

Finalmente, cómo olvidar la frase: “No existe parche para la estupidez humana”. Como es obvio, se trata de frases peyorativas que buscan de alguna forma ridiculizar y menospreciar a los usuarios convirtiéndolos prácticamente en los únicos responsables de todos los errores y fallas que ocurren en tecnología.

Las oportunidades de error siguen in crescendo.

Lo cierto es que, con el avasallante crecimiento de las tecnologías, la adopción del teletrabajo, el incremento de los eventos de ciberseguridad y de los ataques informáticos a todo nivel, los equipos de tecnología deben confiar cada día más en sus usuarios.

Establecer una asociación ganar-ganar que permita incorporar a los usuarios en las estrategias de solución, frente a los riesgos presentes y futuros.

Los usuarios son uno de los elementos fundamentales a la hora de proteger los activos informáticos, quizás el activo intangible más importante para cualquier organización.

5 reflexiones en torno a cómo parchar a los usuarios:

Al inicio de este artículo expresé las reflexiones que me hicieron comenzar a ver a los usuarios de una manera muy distinta. A percibirlos más como parte de la solución y no del problema, ahora les comparto brevemente cinco de las más reveladoras ideas que originaron este artículo:

1. El activo más importante es el recurso humano.

Recuerdo que, durante una presentación, para un grupo de altos directores de las empresas más importantes de Panamá, pregunté: ¿Cuál es el activo más importante para las organizaciones en el 2021? Claramente estaba pensando en la información, la realidad me despertó bruscamente la respuesta unánime fue: “es el recurso humano”.

Esto no solo representó una increíble reflexión, sino que también tuve que cambiar mi respuesta y el desarrollo de la presentación en ese punto para finalmente terminar en la información.

Ahora la pregunta que hago en presentaciones similares es: ¿Cuál es el activo intangible más importante para las organizaciones en la actualidad?, entendiendo finalmente que sin personas no hay empresas ni organizaciones de ningún tipo.

2. El usuario debe ser siempre la primera línea de defensa.

La mayoría de los ciberataques se centran en el factor humano, la ingeniería social, tan antigua como el hombre mismo, ha funcionado a lo largo de la humanidad como instrumento del engaño, el robo y la traición. En ese contexto el usuario representa ese primer anillo de protección cuando llegan los ataques, recordando que detrás de cada computador o dispositivo siempre hay una persona.

El usuario no solo debe estar entrenado y capacitado para identificar y saber qué hacer ante estos ataques. Debe tener las competencias para detectar comportamientos extraños en sus sistemas. Debe saber actuar en caso de duda o cuando efectivamente detecte un problema.

Pero más allá del comportamiento y entrenamiento se debe dotar al usuario de las herramientas y la capacitación adecuada para poder enfrentar los riesgos, así como las crisis que puedan derivarse de estos eventos.

El usuario debe ser siempre la primera línea de defensa.

El usuario debe ser siempre la primera línea de defensa.

3. No subestimes al usuario.

Subestimar a los usuarios es exactamente igual a sacarlos del juego. Muchas veces menospreciamos el poder de una simple llamada de alerta o de un correo reportando una actividad inusual. Los usuarios deben convertirse en esa alerta temprana que buscamos todos los que trabajamos en tecnología o ciberseguridad.

Un usuario entrenado con las herramientas y competencias adecuadas, que además mantenga una eficaz comunicación con los equipos de tecnología y seguridad de la información, es mucho más útil y oportuno para una organización que el mejor firewall o antivirus.

Imagina por un momento poder agregar cientos de ojos y dispositivos al equipo de monitoreo y respuesta temprana ante problemas de ciberseguridad. Con las competencias adecuadas, se convierte en un ejército a disposición de la seguridad de la información.

4. Las mal llamadas destrezas blandas.

La primera vez que escuche la frase: “soft skills” me pregunté ¿por qué alguien llamaría destrezas blandas a todas las capacidades humanas que, muchas veces, son más difíciles de desarrollar que las mismas capacidades técnicas?

Desarrollar la empatía, la comunicación efectiva, el trabajo en equipo, el sentido de pertenencia, y otras tantas destrezas o habilidades es quizás la clave para crear esos super usuarios que todos deseamos tener.

Un usuario empoderado y con las competencias adecuadas se convierte en parte del propio equipo de tecnología y/o ciberseguridad. Sumando cientos de ojos a la supervisión directa de nuestras infraestructuras, en todo momento y a toda hora. ¿Quién no quisiera tener un ejército de aliados, representados por el activo más importante, en la lucha contra la ciberdelincuencia?

5. Todos somos “usuarios” susceptible de parchar.

No debemos olvidar que, el personal de tecnología, los administradores, los encargados de ciberseguridad, también somos o terminamos siendo usuarios. Por supuesto que no cualquier usuario, pues tenemos las credenciales, y responsabilidad, dentro de las estructuras de nuestras organizaciones de tener las “llaves del reino”, con lo cual podemos hacer más daño, ya sea por error, omisión, robo o suplantación de identidad, etc.

Cada día veo con más asombro el uso indiscriminado de credenciales de alto nivel en las organizaciones. Con lo cual los que tanto atacamos y menospreciamos en algún momento a nuestros usuarios, pasamos a ser ese eslabón más débil en la cadena de la ciberseguridad, un perfecto PEBKAC o un error capa 8.

Las 3 Cs, consciencia, compromiso y cultura: la importancia de parchar.

Lo que yo denomino un “súper usuario” no es aquel con las credenciales de más alto nivel en la organización. Por el contrario, es aquel usuario que tiene las tres 3 C´s escritas en su pecho (consciencia, compromiso y cultura) tal como me lo compartió Darío Tedesco (Channel Account Manager LATAM at KnowBe4)

La consciencia

Los usuarios deben tomar consciencia de los riesgos y amenazas a las que se exponen en el desarrollo diario de sus actividades y funciones, tanto a nivel personal y familiar, como a nivel empresarial y/o corporativo.

Crear consciencia e identificar el problema como real y actual, sin importar el tamaño o la naturaleza del negocio es el primer gran paso en la formación y empoderamiento de nuestro súper usuario.

Conciencia en la red

El compromiso

Generar un compromiso efectivo a todo nivel en la organización, comenzando desde los altos puestos o directivos, y que este permee hacia el resto de la organización de cara a la ciberseguridad, reforzará el rol de cada individuo o usuario dentro de la cadena de mando fortaleciendo todas las actividades y decisiones que se tomen enfocadas en mantener nuestros sistemas íntegros, confiables y disponibles.

Comprometernos a actuar conscientemente según lo establecido en las políticas y procedimientos de la organización, dará como resultado la última C que hace referencia a la cultura de la organización y del mismo individuo con respecto a la ciberseguridad.

La falta de conocimiento y concientización de todos los niveles de la organización, en especial los directivos, con la ciberseguridad, dificultan la adopción de estrategias efectivas y genera más riesgos. Desconocer el verdadero impacto que un evento de ciberseguridad puede ocasionar a cualquier empresa, sin importar su rubro o tamaño es un riesgo permanente.

Compromiso en las redes

La cultura

La consciencia y el compromiso son los pilares de la cultura en ciberseguridad. Cuando formamos y entrenamos bien a nuestros usuarios, le damos las herramientas adecuadas y los hacemos conscientes del gran problema en el cual se ha convertido la ciberseguridad. De esta forma, generamos ese compromiso en llevar a la práctica aquellas medidas, tanto preventivas como reactivas, que tengan como objetivo la implementación de la ciberseguridad. Solo así, podemos decir que tenemos una verdadera cultura completando de esta forma la última C de nuestro súper usuario.

Cultura en ciberseguridad

El usuario sí se puede parchar

Ahora que vemos el rol del usuario desde otra perspectiva, comencemos a sustituir las frases usadas al comienzo del artículo por aquellas que lo enaltezcan y posicionen en un rol más activo y protagónico dentro del esquema de protección ante las amenazas de ciberseguridad de nuestras organizaciones.

Comencemos entonces a hablar de:

  •  “El usuario es nuestro firewall humano”.
  •  “El usuario es la primera línea de defensa contra ataques informáticos”.
  •  “La ciberseguridad no es un departamento, es un comportamiento”.
  •  “La verdadera estupidez humana es pensar que todos los usuarios son estúpidos”.
  •  “El eslabón más fuerte en la cadena de la ciberseguridad es el usuario con las 3 C´s”,
  •  “El usuario sí es parchable”.

El papel del usuario en la ciberseguridad va más allá del equipo de seguridad informática y abarca a todos los miembros de la organización.

Los auténticos protagonistas de la seguridad deben ser los usuarios, quienes gestionan y utilizan los dispositivos tecnológicos de nuestras organizaciones para utilizar nuestro principal activo intangible: la información.

Te invito a reforzar el papel de los usuarios con la debida formación y herramientas adecuadas, para hacer frente a la ciberseguridad. Que sean conscientes del riesgo inminente que existe para la ciberseguridad en el mundo digital hoy tan cotidiano y común. Que asuman un compromiso real y que adopten una verdadera cultura de ciberseguridad, que se conviertan en un super usuario que porte con determinación las tres C´s, siendo, de esta forma, el aliado más importante a la hora de protegernos y defendernos de los ataques y riesgos tecnológicos.

Autor: Juan Carlos Paris ©
Tiempo de lectura: 7 min.
@coachinnovativo