SANTO DOMINGO. La tecnología adquirida, con inversión en hardware y software, no es suficiente para proteger una organización, empresa o institución porque existen riesgos de errores humanos, poco considerados entre las estrategias de ciberseguridad, que ya representan el 60% de las brechas de datos reportadas los últimos años.
La información la ofrece Ingrid Delgado, Customer Education & Awareness Manager de Sistemas Aplicativos (SISAP), quien cita el informe DBIR 2025 de Verizon, que asegura que “los errores humanos continúan siendo la principal causa de incidentes de seguridad”.
De ahí, entiende Delgado, que la cultura de ciberseguridad debe formar parte integral de la cultura empresarial dominicana involucrando a todos los colaboradores sin importar su rol, nivel de liderazgo o tiempo dentro de la organización.
Entre los errores humanos más frecuentes -indica- figuran el uso de contraseñas débiles, la descarga de archivos maliciosos y la pérdida de dispositivos con información crítica, por lo que hay que administrar los riesgos originados por el comportamiento, las decisiones y la interacción entre humanos.
La gestión del riesgo humano, explicó Delgado, requiere un enfoque que incluya: políticas y procedimientos claros y conocidos por todos los colaboradores, fomento de responsabilidad individual en la ciberseguridad, monitoreo de comportamientos inusuales y potencialmente peligrosos, control de acceso a los recursos según el nivel necesario de permisos y privilegios, y capacitación constante.
Según lo reportado en el informe del DBIR, el ciberataque denominado ransomware está presente en el 44% de las brechas a nivel global, con una media de pago cercana a US$115 mil dólares.
Delgado informó que el estudio recogió datos regionales a través de organizaciones especializadas en ciberseguridad como SISAP, identificando 1,476 incidentes asociados a errores humanos, de los cuales 1,449 provocaron exposición de datos, siendo el 98% responsabilidad de personal interno de las empresas e instituciones.
“Esto evidencia que la inversión en tecnología, aunque necesaria, no es suficiente, ya que el riesgo humano sigue siendo un factor crítico para las organizaciones e instituciones dominicanas”, puntualizó la experta.
“Implementar una cultura de ciberseguridad centrada en el riesgo humano plantea retos importantes para las organizaciones. Entre ellos destacan la falta de recurso para programas continuos, la resistencia al cambio al recibir los nuevos lineamientos de ciberseguridad, las amenazas externas”, precisó Ingrid Delgado.
Explicó que, el giro de negocio de la organización puede hacerla blanco más apetecible para los ciberdelincuentes, por lo que lo más importante a resolver es la falta de compromiso de la dirección de la empresa, que limita la adopción de medidas de seguridad por parte de los colaboradores.
Para Delgado, los ejecutivos de alto nivel, por el acceso que tienen a información sensible, requieren una formación más especializada que incluya la gestión de decisiones estratégicas, el conocimiento de planes de respuesta a incidentes y su rol en la comunicación interna y externa durante una brecha de datos.
El fortalecimiento del factor humano -asegura- puede reducir significativamente la exposición a los ciberataques y proteger los datos y activos más valiosos para la organización o empresa, “pero el compromiso de la dirección marca la diferencia al impulsar una cultura de ciberseguridad sólida y en constante evolución”, explicó.
Delgado citó a Perry Carpenter, estratega en Riesgo Humano, en su libro The Secure Culture Playbook: An Executive guide to reducing risk and developing your human defense layer, que define la cultura de seguridad como “las ideas, las costumbres y los comportamientos sociales de un grupo que influyen en su seguridad”.
Con ese enfoque -dijo- se busca establecer buenas prácticas que permitan a las organizaciones contar con un entorno más seguro y planificado, reduciendo las probabilidades de incidentes y la disminución de brechas de ciberseguridad derivadas de errores humanos.