50% de los CISO adoptará prácticas centradas en el comportamiento humano
Hoy en día, el factor humano sigue formando parte de la inmensa mayoría de los incidentes de ciberseguridad. Este elemento se encuentra presente en el 74% de las brechas de datos. Por ello, es indispensable el giro hacia el diseño de controles centrados en el ser humano que promuevan y faciliten el uso de prácticas responsables de ciberseguridad entre los empleados.
Gertner prevé que para 2027, el 50% de los directores de seguridad de la información (CISO) adoptará prácticas de diseño centradas en el ser humano en sus programas de ciberseguridad. Esto, con el objetivo de minimizar la fricción operativa y maximizar la adopción de los controles por parte de los empleados. En su investigación, la firma encontró que más del 90% de los empleados que admitieron haber efectuado una serie de acciones inseguras sabía que aumentarían el riesgo para la organización, pero lo hicieron de todos modos. Este enfoque centrado en el diseño de controles de seguridad adaptados a las personas y no a la tecnología o las amenazas, reconoce que los empleados desempeñan un papel crucial en la ciberseguridad y pretende reducir la probabilidad de comportamientos de riesgo.
¿Cómo establecer una estrategia de seguridad basada en la identidad y centrada en el ser humano?
Al implementar medidas de seguridad basadas en la identidad, las organizaciones mejoran su postura de seguridad proactivamente estableciendo prácticas defensivas que contribuyen, de forma directa, a manejar las amenazas que surgen del comportamiento humano impredecible. Sin embargo, para que esto funcione, se debe tener en cuenta a los usuarios que tienen que utilizar estas medidas. Para ello, el enfoque más efectivo es el que se centra en los controles de identidad y acceso de los usuarios, utilizando un diseño centrado en el ser humano. Contar con la ayuda de un MSP puede ser particularmente beneficioso para conseguirlo, ya que es recomendable:
Diseñar controles de seguridad fáciles de usar:
En sus predicciones, Gartner también señala que, para 2027, el 75% de los empleados adquirirá, modificará o creará tecnología fuera de la visibilidad de TI. Esto es otra prueba de que, si los procesos establecidos son complicados, los empleados buscarán cómo evadirlos. Por esta razón, es necesario realizar una evaluación de los controles actuales para comprender la experiencia desde la perspectiva del usuario y aprovechar lo que funciona bien y eliminar lo que no. Y, de esta forma, reducir considerablemente los posibles fallos.
Mejorar el uso de las contraseñas:
Las contraseñas son una parte importante de la seguridad basada en la identidad, pero pueden ser difíciles de recordar y gestionar. Los gestores de contraseñas pueden ayudar a los usuarios a crear contraseñas seguras y difíciles de adivinar, mientras las mantiene organizadas. Esto reduce el riesgo de ataques de fuerza bruta y phishing, además brindar a las compañías mayor control sobre la calidad de las contraseñas, reducir la necesidad de restablecerlas y mitigar problemas relacionados con contraseñas compartidas o robadas. Por su parte, los usuarios podrán crear contraseñas diferentes para todas sus cuentas digitales, sin la necesidad de recordarlas todas. De forma que, para ellos se simplifica el acceso, pero no se pone en riesgo la seguridad.
Establecer un método de autenticación potente:
Es necesario reforzar los métodos de autenticación a través de una solución de autenticación multifactor (MFA) que integre el inicio de sesión único (SSO) y la autenticación basada en riesgos. Esta última mejora la experiencia del usuario al eliminar la autenticación adicional cuando verifica que el usuario cuenta con suficiente seguridad, según los parámetros establecidos en las reglas.
Invertir en formación para los empleados:
Más allá de impartir periódicamente cursos de concienciación sobre la seguridad, es necesario desarrollar una propuesta de valor convincente, que conecte con los empleados y pueda influir en su toma de decisiones. Un MSP puede apoyar en el desarrollo e impartición de estas formaciones, contribuyendo a la reducción de las probabilidades de un ciberataque ocasionado por el factor humano.
La seguridad basada en la identidad constituye un enfoque multicapa que requiere una supervisión, actualizaciones y mejoras continuas. Para que sea efectiva, las organizaciones deben implementar soluciones potentes capaces de protegerlas y que ofrezcan las facilidades que los usuarios exigen para hacer uso de ellas.
Si quieres conocer más sobre cómo proteger las identidades digitales de tu empresa, no dejes de visitar los siguientes contenidos de nuestro blog: