Ciberseguridad tarea de todos. Imagen creada con Inteligencia Artificial.
En el entorno de las TIC, el estado deseado por cualquier organización, es la materialización de un consenso en los usuarios de que la Ciberseguridad es tarea de todos. Sin embargo, lograr este nivel para las instituciones implica superar el enfoque tradicional donde la seguridad de la información se sustenta en la actividad de los especialistas en TIC. Esto indica la necesidad de un cambio cultural profundo en todos los actores dentro de los sistemas informáticos.
La concepción de la ciberseguridad como tarea de todos, parte de la comprensión por los actores que se vinculan con las TIC, de la necesidad de enfocar el modo de actuación hacia un modelo en el que las personas “sientan” que sus acciones repercuten en la salud del sistema informático y que una cuota de las soluciones, esta en sus manos.
Pero el logro de esta concepción requiere desde ya de una ruta para la acción que incluye a directivos, especialistas y usuarios de las TIC en las organizaciones.
Para entender esta concepción debe partirse del conocimiento de los aspectos que la sustentan. Solo así dejará de ser un eslogan, para ser una realidad técnico operativa del entorno digital de las organizaciones.
Se ha mencionado con mucha frecuencia que el factor humano es un eslabón crítico dentro de los sistemas informáticos, al ser responsables de un alto porcentaje de los incidentes. A pesar de que las organizaciones cuentan con tecnologías avanzadas para enfrentar el cibercrimen, el error humano (phishing, uso de contraseñas débiles, descuidos) constituye la causa principal de las brechas de seguridad a pesar de que el usuario final es, a menudo, la primera y última línea de defensa.
Con el auge del teletrabajo y la computación en la nube, el perímetro de red tradicional ha desaparecido. Los usuarios de las redes informáticas de las organizaciones acceden desde sus casas, dispositivos móviles y redes públicas. Ya no basta con proteger la «oficina», hay que proteger al «usuario», con independencia de dónde se conecte y seguir una política de nunca confiar y siempre verificar.
La seguridad no es una capa añadida sobre el software, constituye una parte integral de los procesos al interior de las instituciones. Un error en finanzas, recursos humanos u otro puede tener consecuencias de seguridad graves. La interdependencia de procesos en el sistema informático hace que cada dependencia es responsable de la seguridad de los datos que opera y de las consecuencias para el resto del sistema.
En el trabajo publicado Evolución de la ciberseguridad en 2025 y proyecciones en 2026 se alertaba del hecho de que los ciberataques son cada vez más rápidos y sofisticados. De esto se deduce que ante la detección de alguna anomalía, el reporte tiene que realizarse al instante, superando la concepción de que «eso es trabajo de los informáticos», de no actuar con celeridad el daño puede ser irreversible. Por ende, para una respuesta rápida se requiere de una organización donde todos sean sensibles ante los problemas de seguridad en todos sus niveles.
En esta concepción el papel del usuario de las TIC deja de ser pasivo para convertirse en el elemento activo y determinante de la defensa organizacional.
Para comprender esta afirmación debe entenderse que la seguridad técnica (antivirus, cortafuegos, parches) son para la organización como el «sistema inmunológico» del cuerpo humano, los usuarios por su parte, son el sistema inmunológico conductual. Sin su participación consciente, las barreras técnicas son ineficaces. Esto es similar a las medidas higiénicas que se siguen para evitar enfermedades.
Para comprender mejor la esencia de la ciberseguridad como tarea de todos es vital tomar en cuenta acciones vitales de los usuarios de las TIC para integrarse a esta concepción:
1. Los usuarios de las TIC tienen que ser «sensores humanos» que participan en la detección temprana de los problemas. Esto es posible porque al interactuar con los sistemas y la información de forma cotidiana, pueden detectar anomalías mucho antes que cualquier algoritmo de seguridad. De ahí la necesidad de la observación y el pensamiento crítico como la primera línea de defensa ante amenazas que la tecnología no puede interpretar, como son los ataques sofisticados de ingeniería social o el phishing altamente personalizado.
2. Otro aspecto esencial es la función de «filtros de contenido», que forma parte de la higiene digital. Al ser el usuario la vía de entrada de datos a la organización, es esencial su actuación como mecanismo de cuarentena activa. En este sentido emerge nuevamente el pensamiento crítico como cuestión esencial. Se debe verificar antes de confiar, para ello no se debe hacer clic a ciegas o descargar adjuntos de remitentes desconocidos, entre otras cuestiones.
Cuando no se hace clic en un enlace que llega en un correo electrónico, se evita la carga maliciosa que pudiera llegar a los servidores de la empresa para que el antivirus tenga que eliminarla. La prevención es la manera más segura y efectiva. Evitar es mejor que recuperar o reparar.
3. Una barrera física de protección no es suficiente para evitar la salida de información de la organización, además la seguridad va más allá de evitar la entrada de un programa maligno. Se requiere proteger de manera eficiente el activo más valioso la información y los datos. Esto concede a los usuarios de las TIC el papel de «custodios de la confidencialidad».
En este sentido es esencial aplicar el principio del menor privilegio y el «conocimiento limpio» que implica no compartir contraseñas, no dejar pantallas sin bloquear en espacios públicos y evitar la manipulación de datos sensibles fuera de los canales autorizados como vías para la mitigación de fugas de información (data leaks) y accesos internos abusivos, que son más frecuentes y dañinos que los ataques externos.
4. Los usuarios de las TIC tienen además el papel de «catalizadores de la respuesta» en el proceso de comunicación, para lo que es esencial que exista un flujo de información eficiente donde este tipo de usuario es el nexo de unión. Es vital reportar sin miedo a partir de comprender que «reportar un error» no es un signo de incompetencia, sino un acto de lealtad a la organización.
La rápida comunicación ante un incidente permite la activación de protocolos de contingencia antes de la propagación del ataque a otros sitios de la organización. El silencio es actuar como cómplice del atacante.
5. La disciplina es esencial para esta concepción y en ello el cumplimiento de los protocolos establecidos en los diversos procesos es algo ineludible. La tecnología puede obligar a seguir rutas o acciones, pero no puede forzar la disciplina humana en el uso de recursos físicos y lógicos. Existen transgresiones de mecanismos de seguridad en las organizaciones a pesar de las alertas realizadas, un ejemplo de ello es el uso de VPN gratuitas cuyos riesgos han sido explicados en este blog.
La adhesión estricta a las políticas de uso de dispositivos, el correo electrónico o la movilidad son parte del escudo protector del sistema informático. Esto incluye bloquear su equipo al ausentarse del escritorio, aunque sea «por un minuto» y cerrar así brechas que la tecnología no puede cubrir. Un cortafuegos no puede evitar que una persona espíe el monitor de otra persona, solo la responsabilidad y la ética de las personas pueden evitarlo.
Si bien el establecimiento de una ruta crítica para desarrollar una cultura de seguridad integral con la participación de todos no es privativo de los usuarios de las TIC, conocer su contenido es esencial para la participación consciente y efectiva en ella.
Para transformar esta concepción en una realidad operativa, en las organizaciones se debe seguir una línea de trabajo estructurada que incluye:
1. Compromiso y gobierno, que implica un cambio de la mentalidad de decisores, especialistas y usuarios de las TIC para que cambie la cultura en torno a la ciberseguridad. Para ello, desde la dirección de la organización se debe comunicar de manera explícita que la ciberseguridad es una prioridad estratégica, no solo técnica.
Esto se logra a través de políticas claras en un marco normativo que es el plan de seguridad de las TIC que exprese que la seguridad no es una cuestión técnica compleja, sino las “reglas del juego» a cumplir por todos.
En este sentido la asignación de responsabilidades para cada miembro del colectivo desde el puesto de trabajo es esencial, solo así se conocen las obligaciones específicas en materia de seguridad de todos y cada unos de los usuarios.
2. Concienciación y capacitación como factor de transformación. Aquí el problema comienza con explicar los riesgos a que se enfrenta la organización para exigir responsabilidad ante ellos.
Lo expuesto es sinónimo de formación continua y en este sentido la diversificación de las formas para hacer llegar la información es esencial. A esto se une la llamada segmentación por rol que hace que la formación se adapte a los riesgos específicos del área de desempeño.
3. Facilidad de cumplimiento a partir del empoderamiento y el uso de herramientas. Se deben evitar las las sombras que crean la evasiones de las normas complejas que hacen las personas para trabajar. Por eso, es vital la existencia de una seguridad integrada que proporcione el herramental necesario para la gestión que incluyen gestores de contraseñas, VPN corporativos fáciles de usar, almacenamiento en la nube autorizado, etc. Así se evita que se recurra a soluciones inseguras fuera de la organización que generan inseguridad.
4. La prueba de la práctica y verificación de la cultura de ciberseguridad es esencial para demostrar que presentado en forma teórica ha sido apropiado. En este sentido los simulacros son esenciales para conocer si hubo aprendizaje de las cuestiones trabajadas en la formación para preparar ante una crisis. También se pueden realizar encuestas que recojan información y permitan detectar áreas de mejora.
5. La mejora continua y la retroalimentación que los especialistas llaman círculo virtuoso y que está sustentado en el aprendizaje que permite crear un bucle que asegure que los esfuerzos no se pierdan.
El análisis de los incidentes en un momento cercano a su ocurrencia permite comprender las causas y las debilidades que permitieron que sucediera. El importante que el análisis incluya no solo el aspecto técnico sino también la cuota correspondiente al factor humano y al procesal. Esto permitirá el reconocimiento positivo para reforzar un comportamiento seguro. Se puede valorar el reconocimiento público a quienes detectan amenazas o reportan incidentes de manera rápida. Esto valida la concepción de que «reportar ayuda a todos».