Factor humà: punt clau en la ciberseguretat

El panorama mundial de la ciberseguretat és complex i canvia constantment, amb noves vulnerabilitats i amenaces que sorgeixen gairebé diàriament. Encara que les organitzacions han avançat significativament en la implementació de mesures de seguretat avançades, sorprèn que la majoria dels incidents de seguretat no siguin simplement el resultat de tècniques de pirateria sofisticades, sinó que sovint es vegin afavorits per errors humans. El World Economic Forum va ressaltar que un percentatge significatiu dels incidents de ciberseguretat (95 %) són el resultat d’errors humans, la qual cosa deixava clar que el factor humà acostuma a ser la baula més feble en les defenses de ciberseguretat d’una organització. 

El factor humà en la seguretat informàtica no té a veure tant amb les accions malicioses o criminals de persones que volen danyar l’organització a la qual pertanyen, sinó més aviat amb errors innocents d’aquells que no apliquen mesures bàsiques de seguretat. Els protocols de seguretat més sofisticats es poden veure afectats per un sol clic desafortunat d’un empleat desinformat o descurat. Aquest article fa un repàs de com el “factor humà” és una porta d’entrada per als atacs de ciberseguretat, i proposa recomanacions per ajudar les organitzacions a enfortir aquesta baula més feble en la cadena de la ciberseguretat.

Els nou errors humans més comuns en ciberseguretat

A continuació, esmentem alguns errors humans comuns que poden donar lloc a atacs informàtics:

• Contrasenyes febles. Usar contrasenyes simples o comunes, compartir-les o emmagatzemar-les incorrectament pot portar a comprometre comptes i sistemes sencers.
• Ús de programari no autoritzat. Quan els empleats instal·len aplicacions sense el coneixement i l’aprovació de TI, poden introduir vulnerabilitats i comprometre la seguretat de l’organització.
• Oblit d’actualitzar el programari. No aplicar pedaços o actualitzacions necessaris pot deixar sistemes oberts a l’explotació per part dels ciberdelinqüents.
• Enviament incorrecte d’informació crítica. Enviar dades valuoses a destinataris incorrectes per correu electrònic o enviar documents amb dades crítiques per error pot provocar bretxes de dades.
• Desconeixement d’atacs de pesca de credencials (phishing). Ser víctima de missatges electrònics, SMS o missatges de WhatsApp de phishing és un error comú. Els atacants acostumen a fer-se passar per entitats de confiança, com ara bancs, empreses o organitzacions governamentals, i envien missatges fraudulents que presenten com a comunicacions legítimes, utilitzant tàctiques com la suplantació d’identitat, la creació de llocs web falsos que imiten els llocs reals o l’ús d’un llenguatge persuasiu i urgent per provocar una resposta ràpida de la víctima. Fer clic en enllaços maliciosos o proporcionar informació crítica a llocs web fraudulents pot donar lloc a accessos no autoritzats.
• Desconeixement d’enginyeria social. La manipulació psicològica i social de les persones aprofitant la seva confiança, por, curiositat o falta de consciència. Es poden utilitzar diferents tècniques, com ara la suplantació d’identitat, la manipulació emocional i la persuasió, per aconseguir que les víctimes facin accions específiques que beneficiïn l’atacant; per exemple, que revelin informació crítica o duguin a terme accions que comprometin la seguretat.
• Ús no autoritzat de dispositius. Connectar dispositius no autoritzats a la xarxa, com ara unitats USB o dispositius personals, pot introduir programes maliciosos (malware) o proporcionar un punt d’entrada als atacants.
• Configuració incorrecta d’ajustos de seguretat. Configurar ajustos de seguretat de manera incorrecta pot crear vulnerabilitats que els atacants explotin.
• Maneig negligent de la seguretat física. Deixar portàtils desatesos o rebutjar incorrectament documents crítics pot obrir la porta a accessos no autoritzats.

Ciberseguretat: com es poden prevenir els errors del factor humà?

Aquests errors humans posen de manifest la importància de l’educació contínua en seguretat informàtica per mitigar els riscos associats a les vulnerabilitats humanes. Les organitzacions poden prevenir errors humans que donin lloc a atacs informàtics implementant les estratègies següents:

• Cultura i formació de seguretat. Fomentar una cultura de consciència de seguretat dins de l’organització establint polítiques i procediments clars i proporcionant capacitació contínua.
• Polítiques de contrasenyes fortes. Implementar polítiques de contrasenyes sòlides i fomentar l’ús de l’autenticació multifactor.
• Polítiques i procediments de seguretat clars. Desenvolupar i fer complir polítiques clares de seguretat i procediments.
• Controls d’accés estrictes. Implementar controls d’accés estrictes basats en la dotació dels privilegis mínims a cada rol, i revisar periòdicament els privilegis d’accés dels usuaris.
• Actualitzacions i gestió de pedaços. Mantenir actualitzat el programari per abordar vulnerabilitats conegudes.
• Seguretat d’endpoint. Utilitzar solucions de seguretat per detectar i prevenir infeccions de programari maliciós.
• Abordar configuracions incorrectes i mala higiene de seguretat. Enfocar-se a prevenir configuracions incorrectes i mantenir bones pràctiques de seguretat.
• Mesures de seguretat física. Implementar mesures de seguretat física per protegir la infraestructura crítica.
• Col·laboració amb equips de TI i seguretat. Fomentar la col·laboració entre equips per crear una cultura de responsabilitat compartida.
• Pla de resposta a incidents. Desenvolupar i provar regularment un pla de resposta a incidents per a una acció coordinada davant possibles problemes de seguretat.

Donant prioritat a aquestes estratègies, les organitzacions poden reduir significativament el potencial d’error del factor humà i millorar la seva posició general en ciberseguretat.

La necessitat de tenir bons professionals en l’àmbit de la ciberseguretat és cada vegada més rellevant per a les empreses i institucions nacionals i internacionals. Des de la UOC, contribuïm a formar aquests experts amb el màster universitari de Ciberseguretat i Privadesa, dirigit a perfils tecnològics en l’àmbit de les TIC que vulguin especialitzar-se en l’àmbit de la seguretat TIC. T’animes a formar-te en ciberseguretat?

Aquest article és fruit de la Càtedra Internacional ARTEMISA de Ciberseguretat. Una iniciativa finançada per INCIBE a través dels fons del Pla de recuperació, transformació i resiliència, finançats per la Unió Europea (Next Generation), el projecte del Govern d’Espanya que traça el full de ruta per a la modernització de l’economia espanyola, la recuperació del creixement econòmic i la creació d’ocupació, per a la reconstrucció econòmica sòlida, inclusiva i resilient després de la crisi de la COVID-19, i per respondre als reptes de la dècada vinent.