Todos los expertos en Seguridad Informática sabemos perfectamente que el eslabón más débil en una estrategia de seguridad es el factor humano. Entiéndase por “factor humano” tanto al usuario de sistemas y aplicaciones como también al personal con conocimientos y experiencia dedicados a la ciberseguridad.
Las plataformas de seguridad han avanzado de manera exponencial gracias a la Inteligencia Artificial y al Machine Learning, a la visibilidad que dan los algoritmos y a los fierros que han desarrollado las compañías del ramo de seguridad, los cuales son cada vez más potentes, autónomos, confiables y, eso sí, caros.
Un usuario ha sido, es y será el blanco de las técnicas de ingeniería social desde las más simples hasta las más elaboradas. El espectro del Phishing ha trascendido el email y ahora las redes sociales tipo Facebook, Messenger, WhatsApp entran en el esquema. Incluso los mismos SMS forman parte de la superficie utilizada por los crackers.
Seamos claros en algo: un hacker es una persona con la habilidad para introducirse a sistemas mediante diferentes técnicas y el cracker es alguien con capacidad de hacer lo mismo, pero con fines ilícitos y casi siempre lucrativos.
De poco sirve invertir en infraestructura, servicios y software de seguridad informática si el usuario –por ingenuidad, ignorancia o revancha– da entrada a una brecha de seguridad o baja un malware. Es más, podrías cumplir en tu empresa o institución con todos los requisitos de la norma ISO 27001 y acabar siendo crackeado; podrías tener ingenieros ISACA, CISA, CISSP, CISM, etc. y aún así acabar sucumbiendo, de modo que el eslabón más fuerte debe ser el recurso humano sí o sí.
Mi recomendación es que, como nadie es profeta en su tierra, te apoyes con los proveedores o socios tecnológicos que tienes para que por lo menos una vez cada trimestre todos los empleados que usen sistemas y aplicaciones escuchen a un especialista foráneo en una plática dónde les expliquen los peligros del Internet, los riesgos de una clave repetida y/o débil, que sepan de manera básica qué es un ransomware, un phishing, un troyano, un spyware y cómo se inicia una usurpación de identidad.
Debes establecer un plan de comunicación sucinto y asertivo con tu personal para que no cometan un error en sus dispositivos de trabajo o personales con acceso a los empresariales. La elaboración de procesos y políticas en torno a los temas de seguridad deben ser prioritarios y del conocimiento de todos los usuarios.
Todos, sin excepción, podemos ser víctimas de los cibercriminales. En México, lamentablemente, buena parte de los empresarios, altos ejecutivos y funcionarios desconocen la magnitud del problema, o bien, desdeñan lo que puede ocurrir a su empresa o institución.
Sólo un pequeño porcentaje de entidades cuenta con planes bien establecidos para recuperar la información y otro aún más pequeño tiene el anterior y el de continuidad del negocio, empezando por el gobierno que desvaloriza los temas de tecnología, investigación y, por supuesto, de ciberseguridad.
De por sí la escasez de talento en ciberseguridad es un problema a nivel mundial cuanto más en América Latina. En breve habrá millones de posiciones laborales vacantes para ciberseguridad. Sin embargo, la escasez de recurso humano con conocimientos, experiencia y certificados técnicos es una atroz realidad, lo cual eleva los salarios y provoca una rotación interesante precisamente por la necesidad de los mismos y aunque la Inteligencia Artificial automatizará muchas de estas tareas, hay una larga lista de cosas que se deben programar, configurar, modificar e integrar en una tarea continua junto con las herramientas.
Además, los costos de las mejores plataformas hoy son inalcanzables para las PYMES, lo cual es muy grave si consideramos que en México el 95% de las empresas son pequeñas y medianas. Estamos hablando del generador de poco menos del 50% de todo el Producto Interno Bruto nacional y el generado de casi 80% del empleo total.
Es por ello que la seguridad informática de esas entidades debiera ser una prioridad nacional, donde empresas, gobierno y universidades trabajen de manera conjunta para proteger a las personas y entidades económicas. Estando México dentro de las 15 economías más grandes del mundo nos hace un blanco sumamente apetecible para los cibercriminales.
La conclusión es la siguiente: la ciberseguridad debe formar parte de los programas de estudio –desde nivel básico– para que los niños sepan protegerse al usar TikTok y otras redes sociales, los padres de familia deben estar conscientes de las implicaciones de usar Internet, smartphones y todo lo que implique tecnología; las cámaras empresariales deben abrir un capítulo específico para la Seguridad Informática de sus abonados y compartir conocimientos, experiencias y mejores prácticas; las universidades deben abrir ingenierías especializadas en Ciberseguridad y el gobierno debiera crear a nivel Secretaría de Estado un Cibercomando que proteja los activos más importantes del país, empezando por los ciudadanos y la infraestructura clave como presas, plataformas petroleras, aeropuertos y hospitales. Podemos aprender mucho de países como China e Israel en esta materia y hacer de las personas el eslabón más fuerte en una estrategia de ciberseguridad.
