Mitigación del riesgo de ciberseguridad: el factor humano
El componente humano es el eslabón más débil dentro de la ciberseguridad. Auditoría Interna debe desarrollar técnicas para identificar los riesgos en función del perfil de los empleados y de otras personas.
El componente humano es el eslabón más débil dentro de la ciberseguridad, lo que obliga a los responsables de Auditoría Interna a desarrollar técnicas que permitan identificar los riesgos en función del perfil de los empleados o de personas que, por su relación con la compañía, puedan poner en peligro la empresa, algún área o departamento. Así lo ha señalado Antonio Ramos, CEO de Stack Overflow y cofundador de Mundo Hacker, durante su participación en la jornada sobre ciberseguridad celebrada en el Instituto de Auditores Internos.
Ramos ha destacado la ingeniería social como una de las técnicas más utilizadas por los hackers para llevar a cabo sus ciberataques. Su naturaleza se basa en obtener información confidencial mediante engaño o manipulación de usuarios legítimos para vulnerar la seguridad de cualquier organización.
A través de técnicas sociales o psicológicas determinan la mejor forma de manipulación según el perfil del empleado. “Todos tenemos alguna debilidad, bien sea la avaricia, la pereza, la codicia… que hace que sea sencillo que nos manipulen o nos engañen con el objetivo de convertirnos en el portal de entrada de un ciberataque”.
A más conectividad, más riesgos para la seguridad
“Uno de los mayores logros tecnológicos de la humanidad ha sido interconectar el mundo entero sobre la base de Internet, algo que es funcional pero que nunca fue seguro. Hemos puesto nuestros negocios y la economía mundial sobre unos cimientos vulnerables, que no son fiables y donde ya no hay marcha atrás”, añade Ramos. Además, a medida que crece la conectividad de las personas y de las cosas, aumentan también los riesgos potenciales para la seguridad.
Según el informe Risk In Focus 2020. Hot topics for internal auditors, elaborado por el Instituto de Auditores Internos de España (IAI) junto a otros siete homólogos europeos, la ciberseguridad representa uno de los principales riesgos para las empresas. A pesar de ello, la mayoría de las organizaciones desconoce su alcance debido a su naturaleza cambiante en cuanto a frecuencia, sofisticación y finalidad.
“La amenaza ciber influye no solo en la valoración financiera de la compañía, sino en los países que puedan verse afectados por tener una alta probabilidad de ser atacados”, estima Ramos. Fraudes económicos, robos de información o sabotajes a servicios e infraestructuras son algunas de las principales ciberamenazas. Sea cual sea el objetivo, todos los ciberataques tienen una repercusión económica en la organización.
Principales técnicas de ataque
Las técnicas más comunes son las producidas en forma de DDoS o denegación de servicio distribuidos -que tienen como objetivo paralizar un servicio crítico, un servidor o una infraestructura-, ataques a activos intangibles, fraudes económicos, fuga de información confidencial y ofensivas dirigidas a clientes como el phishing, el malware o el robo de credenciales.
Los ataques generalmente se basan en la detección de vulnerabilidades en la configuración de seguridad de los sistemas, obsolescencia o falta de actualización de las infraestructuras tecnológicas, así como en fallos de programación o diseño en las arquitecturas de seguridad y comunicaciones. A esto se suma la insuficiente concienciación y cultura de seguridad dentro de las organizaciones, además de la escasez de personal sólidamente formado y especializado.