Para sortear con éxito un panorama cada vez más complejo en materia de amenazas cibernéticas, las organizaciones necesitan construir una cultura de ciberseguridad robusta e integral que abarque a todos los colaboradores.
A pesar de su vital importancia para la evolución empresarial, la creación de una mentalidad centrada en la seguridad informática sólida no está exenta de desafíos. Estos retos incluyen la resistencia al cambio, la gestión adecuada de los sistemas interconectados y la adopción segura de las tecnologías emergentes.
En este punto, la inteligencia artificial (IA) ocupa un lugar central. Además de optimizar las operaciones, aumentar la eficiencia y desbloquear nuevas ventajas competitivas, esta tecnología se revela como una herramienta clave para impulsar una estrategia centrada en la seguridad IT.
A continuación, detallamos los desafíos que atraviesan las compañías al instaurar una cultura de ciberseguridad y explicamos por qué la IA es crucial para gestionar el riesgo humano cibernético.
Comportamientos seguros, la base de la cultura de ciberseguridad
La rápida adopción de nuevas tecnologías aumenta la superficie de ataque e incrementa las probabilidades de incidentes. Para mitigar el peligro, la gestión del riesgo cibernético debe contemplar el despliegue de una estrategia holística que combine controles técnicos con un enfoque centrado en el ser humano.
De acuerdo con un estudio reciente, el 68% de las violaciones de seguridad cibernética involucraron un elemento humano no malicioso, por ejemplo, una persona que fue víctima de un ataque de ingeniería social o simplemente cometió un error.
Esto pone de manifiesto la importancia de fomentar una cultura de ciberseguridad, entendida como los valores, actitudes y creencias que impulsan determinadas conductas de los empleados orientadas a proteger y defender a la organización de los ciberataques.
Para que la cultura de seguridad cibernética sea robusta y eficiente, tanto los líderes, como los grupos y los individuos deben tener conductas seguras, pilar fundamental para crear una mentalidad sólida en materia de ciberseguridad.
Los líderes deben priorizar los proyectos de ciberseguridad, mientras que los equipos de área tienen que trabajar juntos para garantizar la protección, ayudándose mutuamente para implementar prácticas seguras.
Por su parte, cada individuo debe entender cuál es el rol que cumple a la hora de proteger la integridad y disponibilidad de los datos y conocer las políticas y las amenazas cibernéticas.
¿Cuáles son los desafíos que enfrenta la cultura de la seguridad cibernética?
Las barreras y los retos para crear una concepción cibernética de seguridad unificada que abarque todas las áreas organizacionales son diversas y se centran principalmente en el factor humano, las nuevas tecnologías, los sistemas interconectados, la medición de la cultura de la ciberseguridad y, especialmente en el caso de las empresas que trabajan con soluciones de cloud computing, la falta de comportamientos seguros por parte de terceros. Analicemos cada uno de estos aspectos.
Factor humano
Las empresas enfrentan dos retos primordiales en lo que a conductas humanas respecta: la resistencia al cambio por parte de los empleados y la necesidad de gestionar los riesgos que estos representan, fomentando una cultura de seguridad sólida.
Es común que las organizaciones deleguen la responsabilidad de la ciberseguridad a un departamento específico —usualmente el de IT—, descuidando la importancia del comportamiento de todos los colaboradores. Esta tendencia puede generar desorientación en los empleados, dificultando la toma de decisiones seguras.
Por otro lado, el auge del trabajo remoto y las modalidades de trabajo híbridas o basadas en el enfoque BYOD exigen adaptar las estrategias de ciberseguridad, instaurando controles que consideren los distintos perfiles de riesgo y tomen medidas en consecuencia.
La ciberseguridad efectiva depende de la gestión del factor humano y de la capacidad de adaptación a los diversos entornos laborales. Para mitigar el riesgo, las organizaciones deben fomentar una cultura de seguridad inclusiva y proporcionar a sus empleados las herramientas y el apoyo necesarios para tomar decisiones seguras.
Tecnologías emergentes
La tecnología emergente, y en particular la inteligencia artificial, ayuda a enfrentar los desafíos de la cultura de ciberseguridad, pero también puede presentar nuevos riesgos y problemas.
Existen diferentes desafíos relacionados con las tecnologías emergentes que podrían afectar la cultura de ciberseguridad, como por ejemplo:
- Automatizar y optimizar las capacidades de ciberseguridad para defenderse contra nuevos riesgos complejos
- Determinar políticas, procedimientos y tecnologías de apoyo de seguridad insuficientes
- Defenderse contra ransomware y amenazas avanzadas
- Gestionar los riesgos de ciberseguridad en dispositivos de Internet de las cosas (IoT) interconectados
Sistemas interconectados
Otro de los principales desafíos para establecer y mantener una cultura de seguridad cibernética sólida tiene que ver con la existencia de ecosistemas de proveedores cada vez más interconectados, especialmente en lo que a soluciones cloud respecta.
Si crear una mentalidad de ciberseguridad robusta y eficiente al interior de las filas empresariales es complejo, extender estos valores y creencias a terceros es mucho más difícil.
Trabajar con partners cloud que no cuentan con las medidas de protección IT apropiadas puede abrir brechas de seguridad que hacen que las infraestructuras sean vulnerables. Pero ese no es el único riesgo.
En términos de gestión del riesgo humano cibernético, la existencia de diferentes actores puede hacer que los límites de roles y responsabilidades se tornen poco claros, generando superposiciones y vacíos de cobertura, así como poner de manifiesto divergencias en el despliegue de la cultura de ciberseguridad.
Medición de la cultura
La recopilación de métricas y la medición de la cultura de ciberseguridad ayudan a impulsar los debates sobre protección IT, lo que respalda el liderazgo, la inversión y la adopción de comportamientos más eficaces. La consecuencia de esto es la reducción del riesgo cibernético.
Sin embargo, una buena parte de las organizaciones no tienen en claro qué métricas o indicadores clave de rendimiento deben recopilar para medir su cultura de ciberseguridad y evaluar cambios en los comportamientos. Tampoco saben cómo la inteligencia artificial podría ayudar a impulsar esas mediciones.
Algunos ejemplos de métricas significativas para medir las conductas que impulsan la cultura de ciberseguridad incluyen:
- Descargas no autorizadas
- Gestión segura de contraseñas
- Instalación oportuna de parches de software
- Violaciones de las reglas de prevención de pérdida de datos
- Incidentes de seguridad potenciales o reales informados
Inteligencia artificial, artífice indispensable para construir una cultura de ciberseguridad sólida
Para las organizaciones, gestionar el riesgo humano cibernético y fomentar una cultura de ciberseguridad abarcativa y resistente es cada vez más difícil.
Además de asistir en la detección y prevención de amenazas, la inteligencia artificial influye positivamente en la construcción de valores, actitudes y creencias en materia de seguridad cibernética a través de 5 aspectos clave: visibilidad, eficiencia y escalabilidad, personalización y cuantificación.
Visibilidad
La implementación de infraestructura de IA proporciona a los responsables de seguridad IT y a los líderes empresariales una visión inmediata de la actividad organizacional. Esto incluye el seguimiento de información confidencial que se envía fuera de la compañía y el acceso a sistemas y datos críticos.
Esto hace posible la identificación de comportamientos o vulnerabilidades que podrían comprometer la seguridad en tiempo real.
Además, la inteligencia artificial facilita la detección y el análisis de patrones sospechosos y permite investigar de manera inmediata posibles brechas de seguridad cibernética.
Cuantificación
La capacidad de la IA para procesar y analizar cantidades de datos en segundos contribuye a crear métricas que aportan información significativa para gestionar con éxito el riesgo humano cibernético.
Gracias a las mediciones, es posible mejorar la cuantificación de los peligros, así como respaldar la capacidad de los líderes para tomar decisiones de inversión basadas en datos e implementar políticas y controles que fomenten los comportamientos seguros.
Personalización
La inteligencia artificial brinda la posibilidad de clasificar a los usuarios según su nivel de riesgo, facilitando la implementación de medidas de seguridad personalizadas y mitigando los riesgos.
Además, los sistemas basados en IA son capaces de relevar las carencias y habilidades de los miembros de los equipos. Con esta información, las organizaciones obtienen mayor conocimiento sobre las necesidades de capacitación de la plantilla, llegando a los empleados adecuados en el momento preciso.
Eficiencia
Valiéndose de la automatización, las tecnologías de inteligencia relevan a los humanos de tareas repetitivas y actividades que consumen mucho tiempo. Así, no solo integran la seguridad por diseño, sino que equilibran el factor humano con los procesos y controles tecnológicos.
Además, las herramientas de IA pueden identificar y tomar medidas para evitar que una amenaza se convierta en un problema, lo que redunda en mayor eficiencia.
Escalabilidad
Al acelerar la implementación de barreras y políticas de protección, la inteligencia artificial ayuda a expandir rápida y eficientemente las medidas de seguridad.
Su capacidad para analizar grandes volúmenes de datos y convertirlos en controles permite proteger de manera eficiente a diversos grupos, procesos y tecnologías.
La escalabilidad permite extender la seguridad a toda la cadena de suministro, un punto vulnerable para los ataques. Al extender los controles a su ecosistema, las organizaciones pueden fortalecer la cultura de ciberseguridad, brindando apoyo a aquellas empresas con menos recursos de seguridad.Valiéndose de las herramientas potenciadas con inteligencia artificial, las compañías pueden propiciar los comportamientos seguros y erigir una cultura de la ciberseguridad sin fisuras. ¿Querés saber más sobre el impacto de la IA en la gestión del riesgo humano cibernético? Contactanos.
