Ciberseguridad: el eslabón más débil

- Por Francisco Balmaceda Picado

Cuando buscamos aplicar medidas de seguridad para gestionar la información de nuestra empresa, nos interesamos en aspectos como la confidencialidad, la integridad y la disponibilidad, pilares de la seguridad de la información. Para cumplirlos invertimos tiempo y dinero en herramientas como firewalls, sistemas de detección y protección de intrusos, que resultan cada vez más costosas y presentan altos grados de complejidad en su administración.

Sin embargo, nos olvidamos que los colaboradores de las empresas manejan gran cantidad de datos, procedimientos, accesos, información de proveedores y controles, por lo que debemos convertirlos en nuestra primera línea de defensa.

Hoy en día, las amenazas son cada vez más sofisticadas y están creciendo de manera exponencial. Estas son dirigidas a las personas utilizando diferentes modalidades para manipularlas mediante elementos psicológicos como la influencia y la persuasión, con el fin de que ejecuten ciertas actividades inconscientemente.  Este tipo de acciones hacen referencia a los más conocidos ataques de ingeniería social y para esto se requiere otro tipo de firewall: un firewall humano.

La ingeniería social se apoya en 4 pilares psicológicos y sociales, nos indica el informático estadounidense reconocido en el campo de la seguridad informática Kevin Mitnick:

1. Las ganas de ayudar: en Costa Rica tenemos una gran desventaja; la amabilidad que nos caracteriza hace que no dudemos en ayudar cuando se nos solicita y eso puede ser perjudicial para la seguridad.
2. Exceso de confianza: nuestra idiosincrasia hace que entremos en confianza muy rápido con desconocidos.
3. A todos nos gusta que nos alaben: es gratificante que reconozcan nuestros logros y este es un camino hacia la confianza de la víctima.
4. No nos gusta decir no: este es un tema bastante complicado, ya que si es un superior el que nos da la instrucción cómo decir que no.

En resumen, el eslabón más débil de la cadena de seguridad es el usuario final. Por esta razón, capacitemos a nuestros colaboradores y no esperemos a que ocurra un evento para actuar. Esto permitirá que nuestro personal pueda reconocer las amenazas y reaccionar ante ellas y cuanto más rápido se identifican, mas rápido se mitigan y menos daño generan.

La ciberseguridad no es un tema solo del departamento de Tecnología, es un tema que le compete a toda la organización.