Los ataques cibernéticos, el phishing y los incidentes de ransomware son amenazas predominantemente facilitadas por el usuario; su éxito depende de la interacción humana. Depender únicamente de la próxima generación de tecnología para resolver este problema es un error; No podemos abordar un problema humano sólo con la tecnología.
La seguridad debe pasar a un enfoque más centrado en las personas, ya que, en última instancia, son las personas las que requieren acceso, cuyas identidades deben gestionarse y autenticarse, y son las personas las que actualmente permiten las fallas, incluso cuando esto es involuntario. Debemos reconocer que se trata fundamentalmente de un desafío humano, no meramente tecnológico. Al priorizar los factores humanos en nuestra estrategia de seguridad, podemos construir una postura más eficaz y resiliente frente a los ciberataques, el phishing y el ransomware.
Este desafío no es nuevo; puede parecerlo porque lo enmarcamos como centrado en TI. En realidad, la gestión de identidades y accesos (IAM) ha sido una práctica fundamental durante siglos, arraigada en los principios de privilegio mínimo y necesidad de saber. Lo que a menudo pasamos por alto es la importancia de comprender nuestros activos de información subyacentes e identificar quién realmente necesita acceder a ellos. Al facilitar ese acceso de manera fluida, mejoramos la experiencia del usuario mientras mantenemos la seguridad. Si reestructuramos nuestros activos de información para que sean más lógicos, fáciles de usar y alineados con las funciones comerciales, podríamos mejorar significativamente nuestra capacidad para administrar el acceso de manera efectiva.
La capacitación y la concientización siguen siendo descuidadas y con fondos insuficientes, mientras que la tecnología recibe una mayor proporción de atención y presupuesto. Numerosos informes, encuestas y presentaciones de líderes de la industria de la seguridad enfatizan constantemente que una capacitación eficaz es crucial para mejorar nuestra resiliencia contra los ataques. Es hora de priorizar la inversión en capacitación y concientización, reconociéndolas como componentes vitales de una estrategia de seguridad sólida.
Las tecnologías desempeñan un papel de apoyo en la lucha contra estos ataques, pero en última instancia dependen de que los individuos tomen las decisiones correctas. Para construir una defensa eficaz, debemos capacitar a personal bien capacitado y consciente de la seguridad que esté respaldado por la tecnología adecuada. En lugar de que TI imponga restricciones de acceso arbitrariamente, involucremos a nuestros equipos en la identificación de sus necesidades de acceso. Al priorizar la colaboración y la comprensión, podemos crear un marco de seguridad que realmente proteja tanto a nuestra gente como a nuestra organización.
Además, debemos reconocer que las prácticas de seguridad demasiado restrictivas pueden llevar a las personas a adoptar comportamientos riesgosos, especialmente cuando tienen dificultades para realizar su trabajo de manera eficaz. Así como las leyes difieren en su enfoque, las políticas de seguridad no deberían reflejar un marco napoleónico, donde los usuarios se limitan únicamente a lo que se les permite hacer explícitamente. En lugar de ello, deberíamos adoptar un modelo que permita a los usuarios cumplir sus funciones manteniendo la seguridad. Es esencial que los equipos de seguridad colaboren con los empleados para identificar soluciones que permitan un desempeño laboral seguro y eficaz, fomentando una cultura de confianza y responsabilidad.
Alejarnos de las reglas rígidas es esencial para el progreso, pero es comprensible que los profesionales de la seguridad puedan dudar, ya que las reglas claras pueden ser un consuelo para algunos. La seguridad centrada en el usuario debería ser el futuro de una resiliencia genuina.