Diseño de seguridad centrado en las personas 2023

Aprende sobre el diseño de seguridad centrado en las personas y lo que dice Gartner es la tendencia principal para 2023 en seguridad informática.

El diseño de seguridad centrado en las personas es la tendencia principal del Gartner para 2023 en seguridad informática.

Según Garnet, consultor líder en ciberseguridad. Para 2027, el 50 % de los directores de seguridad de la información (CISO) de las grandes empresas habrán adoptado prácticas de diseño de seguridad centradas en el ser humano para minimizar la fricción inducida por la ciberseguridad y maximizar la adopción del control.

Con un poco más de 30 años de experiencia en este campo, considero firmemente que el éxito de cualquier iniciativa de seguridad depende de considerar factores humanos.

Los sistemas técnicos son solo una parte. Al final, las personas utilizan, administran y responden a la tecnología. Un enfoque demasiado orientado a la tecnología y que ignore las necesidades de los usuarios está condenado a fallar.

En este artículo exploraré los beneficios de adoptar un diseño de seguridad informática centrado en las personas, los elementos clave para su implementación efectiva, y el impacto positivo que puede tener en cualquier organización.

Importancia de centrarse en las personas

Un diseño de seguridad centrado en las personas considera la facilidad de uso, la capacitación y la concienciación del usuario final.

Esto mejora el cumplimiento de las políticas de seguridad y reduce errores humanos que facilitan el acceso de los atacantes.

Facilidad de uso

Los controles de seguridad deben integrarse en los flujos de trabajo existentes. Por ejemplo, la autenticación multifactor no debe interrumpir la experiencia del usuario. Procesos complicados desalientan a las personas a seguir las prácticas recomendadas.

Capacitación y concienciación

La capacitación regular ayuda a los empleados a entender la ciberseguridad. Campañas de concienciación atraen su atención sobre los riesgos y mejores prácticas. Una analogía útil es comparar la seguridad informática con el lavado de manos.

Psicología y comportamiento

Entender los sesgos cognitivos y motivaciones permite crear soluciones de seguridad efectivas. Por ejemplo, la automatización de procesos tediosos evita la búsqueda de atajos.

Una vez olvidé renovar un certificado SSL en nuestro sitio web. Esto provocó advertencias y me recordó la importancia de diseñar sistemas que minimicen posibles errores humanos.

Diseño de seguridad centrado en las personas

La seguridad no es solo una capa técnica. Debe integrarse en la arquitectura y procesos organizacionales:

Políticas intuitivas

Las políticas de seguridad deben ser comprensibles y relevantes para el trabajo diario. Demasiadas reglas confusas llevan al personal a ignorarlas.

Controles integrados

Los controles como la MFA deben integrarse sin problemas en el flujo de trabajo. Por ejemplo, integrando la MFA con sistemas como Office 365.

TAMBIEN TE PUEDE INTERESAR:  Winsted® representada por Latin America Repgroup

Procesos seguros por diseño

Los procesos internos como el desarrollo de software deben seguir los principios de «seguridad por diseño». Esto implica integrar medidas como escaneos de vulnerabilidad y revisiones de código en cada etapa.

Superficies de ataque minimizadas

Limitar el acceso a sistemas y datos reduce las superficies de ataque. Menos usuarios y puntos de entrada implican menos oportunidades para los atacantes.

Implementación amigable para el usuario

Implementación Amigable para el Usuario

La implementación de controles de seguridad debe priorizar al usuario final:

Software intuitivo

Las aplicaciones y herramientas de seguridad deben ser intuitivas y fáciles de usar. Los mensajes de error deben ser claros y las interfaces simples. Por ejemplo, explicar por qué una actualización de software es necesaria.

Autenticación sin fricción

Métodos modernos como la autenticación sin contraseña eliminan la carga de gestionar contraseñas complejas. La biometría es cómoda sin comprometer la seguridad.

Adopción gradual

Presentar nuevos controles gradualmente permite adaptarse. Por ejemplo, comenzar con MFA opcional ayuda a resolver problemas iniciales.

Operación y mantenimiento amigables

Los procesos de operación y mantenimiento de seguridad deben optimizarse:

Automatización

Automatizar tareas repetitivas como aplicación de parches reduce errores humanos.

Herramientas eficientes

Las herramientas de monitoreo y respuesta deben proporcionar alertas claras sin abrumar al personal. Interfaces sencillas permiten respuestas más rápidas y efectivas.

Procedimientos documentados

Los procedimientos deben estar documentados para consultas rápidas. Listas de verificación y manuales facilitan las tareas críticas.

Conclusión

En resumen, un enfoque de seguridad centrado en las personas equilibra tecnología y necesidades humanas. Al priorizar facilidad de uso, capacitación y procesos bien diseñados, se construye una cultura de seguridad sólida. Detrás de cada sistema hay personas trabajando para proteger activos valiosos.

Preguntas frecuentes

¿Por qué el diseño de seguridad debe centrarse en las personas?

Los humanos buscan atajos cuando los procesos son complicados. Centrarse en la facilidad de uso y la psicología humana reduce errores y mejora el cumplimiento.

¿Cómo diseñar la capacitación de seguridad para mayor adopción?

Hacerla relevante para el trabajo diario, con formatos interactivos y comparaciones útiles. La capacitación regular también fomenta buenos hábitos.

¿La MFA o Autenticación de Múltiples Factores no molesta a los usuarios?

La MFA bien implementada con métodos modernos como notificaciones o biometría no debería ser muy disruptiva. Una adopción gradual también da tiempo para resolver problemas iniciales.

¿Por qué automatizar tareas de seguridad como rotación de credenciales?

La automatización reduce errores humanos por descuido. Las tareas repetitivas y tediosas tienden a omitirse o postergarse.

Comparte este Artículo:
Felipe Argüello
Felipe Argüello

Felipe Arguello es el fundador de Infoteknico. Es un reconocido ingeniero especializado en sistemas de seguridad electrónica con una trayectoria de más de 30 años. Con un enfoque multidisciplinario, respaldado por su educación en Ingeniería Civil, Ingeniería Eléctrica y Protección Contra Incendios, y con múltiples certificaciones profesionales, ha liderado la implementación de soluciones de seguridad integral de importantes corporaciones en más de 25 países de América y Europa.

Artículos: 1044

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *