En muchas ocasiones seguramente has escuchado lo complicado que termina siendo aplicar controles de seguridad dentro de un entorno con múltiples usuarios. Independientemente si es para un adulto o un adolescente, el grado de dificultad no varia mucho. Así que, en el post de hoy, analizaremos por que les resulta tan difícil a los usuario ceñirse a los controles recomendados o aplicados por el área de ciberseguridad.

1. Falta de cultura (informática)

Para aquellos que han vivido mas de 3 décadas, seguramente recordaran que anteriormente la informática no era un plano vital dentro de las actividades cotidianas. Caso contrario ocurre con los mas jóvenes que viven en un entorno digitalizado y que requiere de una interacción bastante agresiva con un dispositivo conectado a Internet. En cualquiera de los dos casos, existe una falta de cultura a nivel de informática, y esto ocurre precisamente por que nos enfocamos en lo mas sencillo, ademas de esperar que todo funcione correctamente sin el esfuerzo mínimo.

Esta falta de cultura es la que ha permitido que los cibercriminales saquen el máximo provecha de fallos de seguridad e incluso de los mismos usuario con ataques que van dirigidos mediante ingeniería social. Por esta razón, la falta de cultura en estos temas, acerca de como manejar los peligros asociados a Internet, es la barrera mas fuerte para el usuario. De aquí parte la necesidad de capacitar o conscientizar al personal dentro de la compañía o cotidianidad para que estén preparados ante cualquier amenaza informática.

2. Demasiados controles

Dicen que las cosas que mas te prohíben llegan a ser las mas codiciadas. Esta frase llega a ser bastante cierta cuando la contrastamos con un entorno empresarial. El ejemplo es sencillo, si se le prohíbe al usuario ingresar a redes sociales, este va a buscar la manera de acceder (aunque infructífera). Esa es la palabra “clave” cuando le mencionan al usuario la frase “esta prohibido” o “no esta permitido” es como si automáticamente lo retaran a que lo hicieran o intentaran.

Pero centrándonos en algo mas certero, cuando el usuario se ve cohibido o se ve literalmente forzado a realizar demasiadas cosas para algo tan simple, se vuelve una tarea fastidiosa que a la final terminara omitiendo y poniendo en riesgo al entorno sobre el cual trabaja a diario. Es en este punto donde debemos buscar un equilibro entre controles de seguridad eficientes y una buena manera de llegar al usuario para que adopte estos controles.

3. No existe la resiliencia

Este termino no es solo aplicable a la psicología, también es utilizado y mas de lo que nos imaginamos en el mundo de la informática. Quizás por ese termino no te sea familiar, pero si hablamos de planes de respuesta a incidentes, puede que empieces a relacionarlos. Este es un factor fundamental dentro de cualquier sistema informático y es aplicable principalmente a los usuarios del sistema, por lo que si no se tiene presente o no es aplicado de manera correcta, cuando ocurra un ataque, probablemente no estén preparados.

Hay que aclarar que todo esto son procesos que van de la mano y que a la final son una cadena que fortalece una infraestructura u organización para mantener su estabilidad a nivel de disponibilidad, confidencialidad e integridad de la información. La principal razón por la que muchas veces no esta preparado el usuario para un ataque, es por que no le dan el valor necesario a la información y escuchamos frases famosas como: “mi información no es importante”.

Puedes encontrar mas información sobre el tema de resiliencia en una charla presentada en el OWASP LATAM TOUR 2019 de Chile en Viña del Mar.
(resiliencia y Ciberseguridad: una convergencia necesaria)

El ciclo de un ataque (usuario)

En ocasiones escuchamos decir que debemos “ponernos en los zapatos de la persona” para poder comprender una situación que le este sucediendo. Realmente es algo muy necesario en el día a día de un consultor de ciberseguridad, puesto que deberá entender a los usuarios de tal manera que todo lo que aplique dentro de la empresa sea efectivo, aun teniendo presente que probablemente el usuario no le prestara atención y lo termine odiando.

Algo que puede funcionar de manera muy efectiva dentro de un proceso de mejoramiento en temas de seguridad, es utilizar el principio KISS. Para los que no lo conocen, sus siglas mencionan: “Keep It Simple, Stupid”. Este principio es la clave del éxito en muchos entornos debido a que se logra diferenciar y aplicar de manera correcta controles eficientes.
Existe una diferencia muy amplia entre un control seguro y eficiente. Sencillamente uno tiene las capacidades de brindar un nivel de seguridad optimo desde el punto de vista del sistema, mas no del usuario totalmente. Sin embargo, un control eficiente, fusionara la seguridad y la comodidad para el usuario, logrando una convergencia maravillosa que le permita a las personas adaptarse sin problemas.

La ciberseguridad no es sencilla…

Si eres consultor y llevas tiempo visitando empresas para intentar “solucionar sus problemas” relacionados a seguridad, entonces sabes lo complicado que es hacerle ver al usuario que todo el trabajo adicional que le agregas a una tarea cotidiana y que anteriormente era demasiado simple, es por proteger en el futuro la vida digital de no la empresa solamente sino también la de el.

Algo claro para finalizar que siempre debemos recordar y decir con toda honestidad, es que la ciberseguridad no es un producto que con solo pagarlo tendrás asegurado tu sistema totalmente. Es un proceso que debe ser monitoreado continuamente para mitigar o minimizar el riesgo y el impacto de posibles ataques a la infraestructura tecnológica.

La primera linea de defensa que tiene la empresa son sus usuarios, por eso debemos centrar nuestra atención también en atenderlos y demostrarles el lado bueno de adoptar las recomendaciones que el consultor le hace a la compañía. Al final del día, el usuario quiere privacidad y seguridad, pero de manera muy fácil, asi que la tarea debe ser, buscar la manera de brindarles esa necesidad que tienen de una manera cómoda y eficiente.