El factor humà en ciberseguretat: el punt feble de les organitzacions

Durant els darrers mesos, la ciberseguretat ha tornat a situar-se com una prioritat indiscutible per a moltes organitzacions. No és cap sorpresa, especialment si tenim en compte com de freqüent apareixen incidents relacionats als mitjans.

Interrupcions de servei, filtracions de dades, robatori de propietat intel·lectual, extorsions o suplantació d’identitat són només alguns exemples dels problemes que generen grans pèrdues econòmiques i danyen profundament la confiança en les entitats afectades.

Però, com pot ser que, tot i les solucions tecnològiques avançades disponibles, les empreses continuïn patint aquest tipus d’incidents? Existeix un component sovint infravalorat que s’ha consolidat com l’esglaó més feble de la cadena de seguretat: el factor humà en ciberseguretat.

L’amenaça més habitual: l’error humà

Com deien els romans, errare humanum est, i molts dels incidents relacionats amb la ciberseguretat tenen com a origen un error humà.

Això s’explica, en gran part, perquè els treballadors tenen accés directe a sistemes crítics, dades sensibles i processos operatius clau, fet que els converteix en objectius ideals per als ciberdelinqüents. Aquests utilitzen tècniques d’enginyeria social per explotar vulnerabilitats humanes: des del phishing fins a l’ús indegut de credencials, els errors humans poden obrir portes que ni tan sols les barreres tecnològiques més robustes poden tancar.

Així doncs, aquests incidents no són simples accidents, sinó una manifestació de la manca d’una cultura de seguretat sòlida. La poca conscienciació, una formació insuficient i l’absència de protocols clars són factors que contribueixen a facilitar, involuntàriament, l’accés a actors malintencionats.

Estratègies per millorar la ciberseguretat

Tot i els reptes, existeixen diverses estratègies que poden ajudar les organitzacions a reduir els riscos derivats del factor humà. La seva gestió ha de ser integral i combinar tecnologia, processos i, sobretot, formació. A continuació, destaquem els punts clau:

• Formació i conscienciació: La formació contínua és essencial per minimitzar els riscos associats al factor humà. Les organitzacions han d’invertir en programes que ensenyin a detectar atacs, gestionar correctament contrasenyes i seguir les bones pràctiques en matèria de seguretat. Aquests programes han d’actualitzar-se regularment per incloure noves amenaces i tècniques d’atac.
• Simulació d’atacs i proves de penetració: La realització de simulacions com el phishing simulat pot ser una eina molt útil per posar a prova la reacció dels treballadors i millorar-la. Aquests exercicis permeten detectar punts febles concrets i proporcionar feedback directe als empleats.
• Polítiques i procediments clars: És fonamental disposar de polítiques de ciberseguretat ben definides, comprensibles i accessibles per a tota la plantilla. Aquestes haurien d’incloure aspectes com la gestió de contrasenyes, els nivells d’accés o el protocol davant d’incidents. Tot plegat hauria d’anar acompanyat de procediments rigorosos que assegurin el seu compliment.
• Fomentar una cultura de seguretat: La ciberseguretat ha de ser una responsabilitat compartida dins de l’organització. Cal crear una cultura on la protecció dels actius digitals sigui una prioritat per a tothom, des de la direcció fins als equips operatius. Aquesta cultura ha d’estar present en el dia a dia i reflectir-se en totes les accions.
• Implantació del model Zero Trust: El model de seguretat Zero Trust es basa en el principi de “no confiar mai, verificar sempre”. Això vol dir que cap usuari ni dispositiu es considera fiable per defecte, independentment de si es troba dins o fora de la xarxa corporativa. Aquest enfocament ajuda a reduir el risc que un error humà desencadeni un incident greu, ja que limita el dany potencial que pot causar un atacant.

Conclusions

La ciberseguretat no és un estat permanent, sinó un procés dinàmic que requereix una gestió contínua del risc en un entorn en canvi constant. I tot i que la tecnologia té un paper fonamental, la protecció real contra els ciberatacs depèn, en gran mesura, de les persones.

Enfortir el factor humà no és només una qüestió de coneixement tècnic; implica generar una cultura organitzacional on la seguretat sigui una prioritat compartida. Només així les organitzacions podran reduir realment els riscos i construir una estructura de seguretat sòlida i resilient.

Aquest enfocament integral que combina tecnologia i comportament humà, és essencial per fer front als reptes actuals de la ciberseguretat.

Recursos:
[1] Peña, M. (2022): El eslabón más débil: el factor humano. Business Review: Harvard Deusto, 324, 34-36.

Vols continuar llegint sobre seguretat? No et perdis aquests recursos!

• Zero Trust: redefinint l’estratègia en ciberseguretat
• Com protegir la teva xarxa domèstica intel·ligent

A Block&Capital, especialistes en selecció de personal, treballem per crear oportunitats on el creixement i l’èxit siguin a l’abast de tothom. Si estàs preparat per fer un pas endavant en la teva carrera professional, no dubtis a contactar amb nosaltres.