Ciberseguridad: Cuando el factor humano es el enemigo

Anna Garcia Hom

Según sostienen algunos estudios, la tecnología ha mejorado nuestras vidas y, por lo que parece, lo seguirá haciendo. Mientras nuestras opciones de vida, empleo, ocio, etc. se amplían, también lo hace nuestra sensación de pérdida de control que inevitablemente nos conduce a un camino sin retorno en aras de un futuro altamente digitalizado y deliberadamente complejo. Pongamos que hablamos de los recientes ciberataques hacia algunas entidades públicas conocedoras del saqueo al que han sido sometidas con las consiguientes pérdidas económicas y la sensación no menos desagradable de haber sido víctimas del delito. Estos incidentes ponen de relieve algunas cuestiones aún por resolver que exceden las simples inyecciones presupuestarias para dotar a las administraciones de potentes sistemas informáticos.

Primera idea, la ubicuidad tecnológica en nuestro mundo social es importante porque restringe severamente los tipos de predicciones que podemos hacer. Y esto es precisamente lo que sucede con la ciberdelincuencia: surgida de un sistema complejo, su gestión y monitorización requiere predecir correctamente la probabilidad de cuándo y cómo va a suceder. Y esto es de lo que las organizaciones precisamente carecen: capacidades humanas analíticas para comprender la complejidad de la red y recursos de anticipación para identificar amenazas y predecir probabilísticamente algunos riesgos.

Segunda idea, el supuesto efecto venganza resultante de nuestro progreso tecnológico no es más que la traslación del daño (riesgo) a otra parte de la ecuación. Así es, si bien las tecnologías ayudan a resolver ciertos problemas, crean otros peores o nuevos en un bucle infinito de consecuencias no deseadas: mientras los ataques se tornan más sofisticados, se acentúan las vulnerabilidades humanas para hacerles frente.

Tercera idea, la decisión de abordar la ciberseguridad de nuestras administraciones con las lentes de la tecnología, es decir, centrando nuestros recursos en armar una potente estructura de seguridad informática con herramientas y talentos exclusivamente ingenieriles, es desconocer la trascendencia del factor humano en estos procesos. En ciberseguridad algunos procedimientos no funcionan porque la tecnología no existe aisladamente, sino que interactúa constantemente con un sistema complejo, lo que provoca que cualquier problema se extienda más allá del lugar donde se originó. Las nuevas estructuras, dispositivos y herramientas reaccionan con personas reales en situaciones reales difíciles de prever. La complejidad de nuestro sistema hace casi imposible que alguien entienda cómo poder actuar globalmente, lo que lleva inevitablemente al factor humano como ingrediente principal de los errores cometidos en ciberseguridad. De ahí la necesidad de reenfocar su gestión. Nuestra mayor vulnerabilidad es el factor humano, siendo ahí donde es urgente e imprescindible actuar.

Si bien no podemos anticipar todas las consecuencias, deberíamos prepararnos para su existencia y tenerlo en cuenta en nuestras estimaciones de los beneficios de nuestras nuevas tecnologías

Las amenazas en nuestros sistemas de ciberseguridad implican comprender la transformación de viejos riesgos definidos y localizados en riesgos nebulosos y graduales que conllevan una acumulación lenta de daños. En comparación con algunos desastres visibles, aquellos son más difíciles de diagnosticar y tratar. Ciertos accidentes localizados tienden a impulsar la creación de mayores estándares de seguridad, haciéndolos más seguros a largo plazo. Los pequeños acumulativos no: ni son fáciles de medir y, en ocasiones, ni siquiera preocupan necesariamente (de ahí que muchas organizaciones sean desconocedoras aún de ataques a sus sistemas). Y aquí radica uno de los problemas. Las acciones dirigidas a lograr una ciberseguridad eficiente en nuestras organizaciones y administraciones pasan por entender la relación inversamente proporcional que existe entre elevadas y complicadas inversiones en software tecnológico y las capacidades y habilidades de nuestros factores humanos para lidiar con ellas. Las cadenas de causa y efecto dentro de sistemas complejos como los nuestros son más extrañas de lo que podemos imaginar, lo que conduce a errores sistemáticos en la toma de decisiones políticas sobre ciberseguridad.

Si bien no podemos anticipar todas las consecuencias, deberíamos prepararnos para su existencia y tenerlo en cuenta en nuestras estimaciones de los beneficios de nuestras nuevas tecnologías. De hecho, deberíamos evitar confiar demasiado en nuestras capacidades naturales —ya sea como líderes, como gestores o servidores públicos— para prever el futuro. Por mucho que nos dotemos para una variedad de impactos, los efectos no deseados pueden depender del conocimiento que aún no se posee. Así pues, y antes de intervenir en un sistema, asumiendo que solo pueden mejorar las cosas (más preparados para potenciales ataques) debemos ser conscientes de que nuestras acciones o las de los demás pueden hacer lo contrario o no hacer nada. El enemigo sigue siendo el factor humano y está dentro.

____________________

Anna Garcia Hom es doctora en Seguridad y Prevención y co-autora de 'Manual del Miedo. Un análisis socio-jurídico' (Ed. Aranzadi)

Más sobre este tema
stats