Cambio de tercio en la gestión de la ciberseguridad: el factor humano

El  factor humano sobrepasa los límites de la ciberseguridad y su influencia afecta al entorno tecnológico en su conjunto

Daniel Madero W. Regional Sales Director. Ivanti.

factor humano
Daniel Madero W. Regional Sales Director. Ivanti.

Desde 2004, se viene celebrando “el mes de concienciación sobre la ciberseguridad”.  Mucho ha cambiado el entorno de la ciberseguridad -y el mundo, en general- desde entonces. Al igual que la automatización, se dispararon tras la pandemia la digitalización, la adopción de la nube, la Inteligencia Artificial y el Machine Learning (Aprendizaje Automático), y está teniendo lugar una transformación digital sin precedentes.

Esto es una gran noticia para las empresas, pues implica reforzar su productividad sin necesidad de sobrecargar a su capital humano. Un aspecto esencial,  teniendo en cuenta  que existe una escasez masiva de trabajadores TI a nivel global, y los que se mantienen, están desubicados y dispersos.

Por otra parte, a medida que la tecnología utilizada para gestionar el entorno laboral se basa cada vez más en la IA/ML – y esto es así no sólo en ciberseguridad,  sino en casi todos los ámbitos – , empieza a tenerse en cuenta un elemento decisivo al que hasta ahora no se ha prestado la debida atención.

La clave está en el factor humano

Cuando se trata de reforzar la postura de ciberseguridad, son las personas las que están alterando las reglas del juego. Algo que no deja de ser una contradicción, teniendo en cuenta que el mundo avanza hacia la IA, el ML y la automatización precisamente para minimizar la intervención humana.

La clave está en entender bien el concepto, pues con la IA, el ML y la automatización no se pretende minimizar la importancia de los humanos.  Al contrario, a lo que se aspira es a liberarles de  actividades  rutinarias y repetitivas, así como de  cualquier tarea que implique la gestión a gran escala de ciberamenazas y el  procesamiento de datos que conlleve un alto riesgo de error humano. Es aquí donde la intervención humana resulta especialmente crítica.

En la IA y el ML, se necesitan datos para detectar un patrón o predecir cuáles serán los siguientes pasos. Teniendo en cuenta la naturaleza dinámica de las ciberamenazas, los humanos continúan desempeñando un papel esencial, pues son excelentes para comprender, razonar y matizar, mientras que en la IA y el ML siempre existe un desfase. Confiar únicamente en ellos, supone una puesta al día en cuanto a innovación, permitiendo a las máquinas hacer su trabajo de conversión de los datos en conocimiento.

Para que las máquinas sean eficaces, los datos tienen que estar etiquetados. El etiquetado también puede automatizarse, y para ello las personas deben determinar e introducir las etiquetas correctas. Desde el punto de vista humano, se trata de una actividad estratégica, lejos  de la simple identificación de acciones rutinarias que pueden y deben ser automatizadas.

factor humano
El factor humano y la ciberseguridad

Experiencia digital del usuario

Las máquinas tienen la capacidad de hacer posible la experiencia digital del usuario, pero corresponde a los humanos decidir qué herramientas se van a implementar, cómo se van a utilizar y a reforzar. Incluso las mejores herramientas del mundo resultarán inútiles si los responsables tecnológicos no las eligen y las hacen accesibles a sus equipos.

Cuando se trata de escribir un código eficaz y seguro, las máquinas no están todavía a la altura de los humanos, pues son incapaces de pensar y desarrollar estrategias. Sin embargo, una vez escrito el código, sí son capaces de aplicarlo y comprobarlo. Por tanto, la cuestión no existe la dicotomía de humanos o máquinas, ni de humanos versus máquinas. Son los humanos y las máquinas. Ese es el nuevo mantra.

Cuando la automatización libera a las personas de actividades rutinarias que roban su tiempo,  la importancia de la intervención humana se magnifica,  pues disponen de más tiempo para actuar de forma estratégica y proactiva, pudiendo enfocarse en innovar y corregir, en lugar de recopilar datos y clasificar.

La ingente carga de trabajo que conlleva este tipo de tareas rutinarias es real y reconocida por quien tiene que asumirlas.  Según desvela un estudio de Ivanti,  el 71% de los profesionales de TI y ciberseguridad reconoce que la aplicación de parches les lleva demasiado tiempo y les resulta una tarea compleja y engorrosa, y más de la mitad reconoció que organizar y priorizar las vulnerabilidades críticas ocupa la mayor parte de su tiempo. ¿Cómo sería si estas tareas estuvieran automatizadas? Sin lugar a dudas, se abordarían de forma infinitamente más estratégica,  innovadora y proactiva.

Por otra parte,  son los humanos a quienes corresponde construir o quebrar la estrategia de ciberseguridad de una empresa. Estos son algunos ejemplos:

Una postura de seguridad se debilita cada vez que un usuario final acepta un enlace de phishing o no sigue los protocolos de las contraseñas.

Corresponde a los equipos de seguridad decidir el refuerzo que debe aplicarse a los protocolos, cómo aplicarlos y el nivel de calidad de las plataformas en las que invierten.

Los equipos de seguridad son quienes deciden si utilizarán programas de parches inteligentes, basados en el riesgo y priorizados, o si afrontarán las amenazas según convengan.

El factor humano sobrepasa los límites de la ciberseguridad

Por tanto,  el  factor humano sobrepasa los límites de la ciberseguridad y su influencia afecta al entorno tecnológico en su conjunto, pues:

Los resultados de los datos son tan fuertes como las entradas que las personas han reunido. Hasta que se interpretan y se convierten en políticas y acciones, los datos son solo números.

Así pues, los avances tecnológicos deberían servir para ayudar a los humanos a ser más eficientes y tomar mejores decisiones. Las tareas pueden cambiar, pero las personas son insustituibles.

También y no menos importante, la innovación tecnológica debería contribuir a facilitar el trabajo y la vida de las personas, no a dificultarlo. Con demasiada frecuencia, la seguridad y la experiencia de los empleados están reñidas. Una seguridad estricta, por muy necesaria que sea, puede suponer un exceso de trabajo y limitaciones para los empleados. Algo que no tendría que ser así, pues el éxito radica en la capacidad de ofrecer una experiencia digital óptima a los empleados, algo que se consigue estableciendo medidas de seguridad proactivas y flexibles.

Por último, y aunque la ciberseguridad está entre las principales prioridades presupuestarias de la alta dirección, parece que no es suficiente. Y es que el éxito no consiste en limitarse a hacer de la seguridad una prioridad, sino en vigilar que sea una prioridad fácil de gestionar, pues si resulta extremadamente difícil de gestionar, su adopción y cumplimiento se verán seriamente afectados, y nadie saldrá beneficiado.

Es ya el momento para que las organizaciones se alineen con las mejores prácticas de seguridad. Ahora, antes de que sea demasiado tarde. El espectacular crecimiento de la adopción de la nube y la disrupción digital en todos los sectores, ha ampliado exponencialmente las superficies de ataque y el radio de acción de los atacantes. Para afrontar con éxito esta situación y tomar la iniciativa en materia de ciberseguridad, además de entender mejor la postura de seguridad, es necesario aprovechar el recurso más preciado: el factor humano. Las máquinas solo están ahí para ayudar.

La ciberseguridad nos afecta a todos y a todo; a fin de cuentas, su razón de ser es proteger la información. En última instancia, tanto si el titular de esa información es una persona, una empresa o un país, al final todo se reduce a proteger a las personas, como responsables últimos de esa información: su identidad, su reputación, su privacidad, su seguridad laboral, su confianza en una empresa, su presupuesto, su seguridad… Es humano. Siempre es el factor humano. Protejámonos unos a otros.

Imágenes: Shutterstock