La gente es vista a menudo como el eslabón más débil cuando se trata de ciberseguridad, pero eso debe cambiar, dice el Centro Nacional de Seguridad Cibernética.
La percepción de la gente como el eslabón más débil es injusta y una consecuencia natural de una cultura de seguridad dirigida por la tecnología.
La seguridad de la información ha sido tradicionalmente liderada por la tecnología y, como resultado, se ha pasado por alto el rol y el valor de las personas. Ésa es la opinión de Emma W, líder del equipo de seguridad centrado en las personas en el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC).
Las empresas esperan a que su personal tenga el conocimiento de cómo manejar la seguridad de la empresa por medio del sentido común, sin embargo, muchas veces son ignorantes de lo que todo esto implica o consideran que es muy difícil manejarlo y no solo hablando en un sentido laboral sino también personal. A menudo estas acciones no se reconocen, y en su lugar los usuarios son vistos como no cooperativos o estúpidos, no obstante, esto no es cierto y es una percepción que tenemos que cambiar para hacer lo que consideramos una debilidad ante un mundo constantemente cambiante y enriquecido con herramientas tecnológicas, una fortaleza.
Un ejemplo de donde los usuarios suelen ser culpados es en el diseño de contraseñas. Ya sea por la inflexibilidad que les permite recordar diferentes contraseñas o de la extensión y falta de secuencia es que suelen utilizar la misma para diferentes portales o simplemente dejarla expuesta en su sitio de trabajo o en papel, siendo esta una vulnerabilidad ante un ataque de ingeniería social. Pero, y si supieran que hay gestores de contraseñas que se encargan de recordar cada contraseña y de diseñarlas?
«Ellos necesitan entender que si los seres humanos parecen ser pobres en seguridad, es porque se les exige hacer cosas que son difíciles o poco prácticas». (Emma W, 2017).
El NCSC cree que esto indica la necesidad de reformar la relación entre el equipo de seguridad de TI en una organización y los usuarios de los sistemas de TI.
Esta es la relación que necesitamos remodelar, y una parte crítica de eso es permitir la comunicación bidireccional entre los equipos de seguridad y el resto de la organización, en lugar de la actual percepción común de los usuarios de que la seguridad se sienta en su propio silo y le dice a todo el mundo lo que necesitan hacer.
Las organizaciones deben enfrentarse al hecho de que algunas de las viejas formas de trabajo son ineficaces en términos de seguridad, y pasar a prácticas que ofrecen seguridad real al tener en cuenta cómo funcionan las cosas, qué es lo que la gente necesita hacer y cómo pueden hacer eso de forma fácil, eficiente y segura.
Hay que generar mas conciencia y no inutilizar al usuario ya que así no lograremos cambiar la falta de conocimiento en lo que a seguridad informática y que mejor si las empresas pudieran capacitar a su personal para mejores prácticas de seguridad en su empresa.