Ángela Cubillos
Cyber Risk Senior Consultant en Marsh Latinoamérica
-
Colombia
A lo largo de los años, las empresas han invertido millones de dólares en la implementación de controles técnicos, pero han economizado en entrenamiento para sus empleados, debido a que no han comprendido que estos son susceptibles a manipulación y a errores (mismos que pueden causar hasta el 90% de todos los ciberincidentes ). Es decir, no han creado una cultura de ciberseguridad.
Las empresas y los encargados de gestionar la seguridad de la información deben comprender que el factor humano y el aprovechamiento de la psicología, son tan importantes, o más, que la tecnología y los procesos mismos.
El ser humano en su vida cotidiana tiene que tomar decisiones continuamente; sin embargo, durante ese proceso existe un porcentaje de error inevitable. En el ámbito tecnológico, esto se traduce en hacer clic a un enlace desconocido o enviando información a un correo sin verificar su procedencia.
Cuando los seres humanos toman decisiones, deben procesar bastante información en medio de factores que influencian este proceso. Es aquí cuando, de forma subconsciente, procesan parte de la misma y toman una decisión más rápida. Estos atajos mentales ayudan a los seres humanos a resolver problemas y aprender conceptos nuevos. Esto hace los problemas menos complejos al costo de ignorar información que se está comunicando al cerebro, lo cual se puede transformar en sesgos cognitivos al no prestar atención a toda la información disponible.
En seguridad de la información, un sesgo cognitivo que conduzca a un error en la toma de decisiones, podría causar un daño significativo a una organización. Es por esto que, si no se comprenden los sesgos cognitivos y su gestión no se integra en los procesos de capacitación y concientización, el error humano seguirá representando un riesgo significativo para la seguridad de la información en las organizaciones.
Algunos de los sesgos cognitivos más relevantes para la seguridad de la información son:
Es importante conocer estos sesgos y entender cómo son aprovechados por los atacantes, con el fin de establecer una cultura de ciberseguridad que permita mejorar nuestra estrategia de seguridad y así mitigar los riesgos cibernéticos a los que están expuestas las organizaciones.
No olvidemos que las vulnerabilidades psicológicas se transforman en riesgos para la organización, y surgen muchas veces de las situaciones que esté enfrentando el empleado, lo cual puede derivar en hacer uso incorrecto de los activos de información con los que trabaja diariamente.
En la siguiente entrega conoceremos cómo se da la explotación de las vulnerabilidades humanas con el fin de comprender por qué es tan importante construir una cultura de ciberseguridad en las organizaciones.
Cyber Risk Senior Consultant en Marsh Latinoamérica
Colombia
Cyber Risk Senior Consultant en Marsh Latinoamérica