El papel del factor humano en el análisis de riesgos informáticos

Digital security concept

El elemento humano tiene que ser tomado en cuenta cuando se evalúan este tipo de riesgos en una organización

Acorde a una reciente investigación realizada por especialistas en hacking ético, el 17% de los robos de datos comienzan como ataques de ingeniería social, principalmente por correo electrónico. Errores de los empleados, como enviar un correo electrónico a la persona equivocada, también representan el 17% de estos incidentes. Este es un problema y lleva a las organizaciones a preguntarse, ¿qué tanto riesgo genera nuestro capital humano?

El problema es que los profesionales de la ciberseguridad y hacking ético no saben por dónde empezar. A menudo las organizaciones carecen de visión y sólo identifican incidentes momentáneos (como correos de phishing) en lugar de considerar el impacto en un mayor plazo de tiempo. Esto puede provocar que no se valore en la medida correcta el riesgo real, sin embargo, existe una forma disciplinada de evaluar el riesgo generado por el factor humano a través de un análisis en dos pasos.

En primer lugar, cabe preguntarse, ¿cuál es la probabilidad de que un empleado muerda el anzuelo de un ciberataque o accidentalmente filtre información confidencial de la organización? En segundo lugar, ¿cuál es la probabilidad de que esta acción se materialice en un robo de datos o interrupción del sistema, y cuál es el costo potencial de tales incidentes?

De manera conjunta, tenemos los dos elementos necesarios para un análisis utilizando el modelo estándar de Análisis Factorial de Riesgo de la Información (FAIR). Esos elementos son, frecuencia e impacto. Juntos, estos pueden ayudar a vislumbrar esta clase de eventos con una probabilidad y un valor en dólares.

El estándar FAIR ofrece una manera de utilizar el pensamiento crítico que permite medir los escenarios de riesgo. También pone el contexto alrededor de los eventos de pérdida y ofrece información sobre la frecuencia probable de ocurrencia y la magnitud del impacto. Esto permite una forma estructurada de recopilar los datos correctos, lo que ofrece una forma de cuantificar los resultados como un rango de resultados probables.

Usando el modelo FAIR, veamos el riesgo de un robo de datos debido a una filtración accidental de información sensible. En lugar de sólo resolver el problema inmediato, se deben tomar en cuenta los problemas sistémicos detrás de esta brecha de datos a través de la óptica de FAIR, pues esto permite que los equipos de seguridad de la empresa tengan una idea de la frecuencia y la magnitud de posibles infracciones similares en el futuro:

Frecuencia

  • ¿Con qué frecuencia los correos electrónicos que enviamos contienen información confidencial?
  • ¿Con qué frecuencia un empleado envía un correo electrónico de forma errónea?
  • ¿La información del correo electrónico está encriptada?

Magnitud del impacto

  • Costo principal para solucionar las fugas de información
  • Los costos secundarios del incidente de seguridad (por ejemplo, ofrecer monitoreo de información gratuito a los clientes afectados o pagar multas y/o juicios)

Con algunos datos sólidos, basados en la experiencia de la organización o normas de la industria, se pueden realizar simulaciones para probar miles de resultados posibles y generar un gráfico que muestre un rango de pérdidas potenciales acorde a los criterios establecidos.

En conclusión, hay una forma de evaluar el factor humano. Concéntrese en definir y calcular los costos de los eventos finales que pueden causar pérdidas en su organización, no tanto en las personas que participan en sus procesos. Como mencionan los especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética, no puede disponer de humanos exentos de errores, pero tendrá una mejor oportunidad para manejar situaciones inconvenientes si puede identificar los riesgos potenciales para su organización.