Mimecast Logo
Obtenga una cotización

    Gestión de Riesgos Humanos

    Mitigación de las amenazas internas mediante una gestión proactiva de Human Risk en ciberseguridad.
    Asegurar el Human Risk
    Gestión de Riesgos Humanos
    Asegurar el Human Risk
    Puntos clave

    Qué aprenderá en este artículo

    Descubra cómo la Gestión de Human Risk (GRH) reduce de forma proactiva las amenazas internas y refuerza la ciberseguridad centrándose en el comportamiento de los usuarios y en intervenciones específicas:

    • La gestión de Human Risk identifica, cuantifica y supervisa continuamente los comportamientos de riesgo de los usuarios, lo que permite a las organizaciones priorizar la formación y los recursos para los empleados con más probabilidades de causar incidentes de seguridad.
    • Una gestión eficaz de los recursos humanos combina la formación sobre concienciación en materia de seguridad, la aplicación de políticas, los simulacros de phishing y la evaluación continua para crear una cultura positiva en materia de seguridad y reducir el impacto de los errores humanos en la ciberseguridad.
    • Las plataformas avanzadas de GRH, como la de Mimecast, proporcionan visibilidad de los perfiles de riesgo de la organización, aprovechan los análisis y la puntuación de riesgos, y apoyan estrategias como la confianza cero y la respuesta mejorada ante incidentes para protegerse contra las amenazas en evolución.

    ¿Qué es la gestión de riesgos humanos?

    La gestión del riesgo humano (GRH) es un enfoque holístico de la ciberseguridad centrado en identificar primero, cuantificar después, gestionar y, en última instancia, reducir el riesgo humano al que se enfrentan las organizaciones. Este riesgo humano puede provenir de fuentes externas, pero el principal objetivo de la GRH son las amenazas internas. La gestión de recursos humanos da prioridad a la identificación y posterior supervisión del comportamiento de los usuarios que suponen un mayor riesgo. Mediante este enfoque, los equipos de seguridad pueden dar prioridad a los usuarios que necesitan más formación y supervisión, ya que los programas de concienciación sobre la seguridad no pueden adoptar un enfoque único para todos. La GRH trata de crear una cultura positiva para la seguridad en la que el comportamiento seguro se convierta en una segunda naturaleza.

    Comprender el riesgo humano

    El riesgo humano se define como la posibilidad de que las acciones de un individuo perturben o causen daños a una organización, ya sean intencionadas o no, y se originen interna o externamente. También conocido como error humano, el riesgo humano representa un área de atención renovada para una industria de la ciberseguridad que trabaja continuamente para ir por delante de los adversarios. Dado que las herramientas de seguridad basadas en IA detienen con mayor facilidad y frecuencia los ataques de gran alcance, los ciberdelincuentes han cambiado su enfoque hacia los ataques selectivos diseñados para aprovecharse de los errores humanos. Las organizaciones deben adaptarse para detener este creciente riesgo humano.

    ¿Por qué las organizaciones tienen que gestionar el riesgo humano?

    Las organizaciones deben gestionar el riesgo humano para permanecer seguras frente a los ciberataques actuales, que buscan como objetivo a los empleados más vulnerables de una organización -aquellos para los que la formación en materia de concienciación sobre seguridad no ha sido tan eficaz-, que son los más propensos a hacer clic en enlaces no seguros, descargar archivos no seguros o ser víctimas de un correo electrónico empresarial comprometido.

    Las organizaciones que no gestionan el riesgo humano se dejan vulnerables a los errores de los empleados, a los problemas éticos, a las malas prácticas de ciberseguridad y a una formación en ciberseguridad deficiente o ineficaz.

    ¿Por qué es importante la gestión de los riesgos humanos para la ciberseguridad?

    HRM aprovecha la última tecnología disponible en la industria de la ciberseguridad. Concentra los recursos en los usuarios más vulnerables que suelen causar más incidentes de seguridad. Permite a las organizaciones hacer un uso más eficaz de sus herramientas de seguridad. HRM proporciona a los equipos de seguridad las herramientas que necesitan para medir, predecir y gestionar el riesgo que presentan sus usuarios. Con la GRH, las organizaciones pueden identificar indicadores tempranos de compromiso, vulnerabilidades futuras y resultados de riesgo.

    Beneficios de la gestión de riesgos humanos

    La gestión de recursos humanos está diseñada para prevenir las cambiantes y sofisticadas amenazas que apuntan al error humano dentro de las organizaciones. La gestión de recursos humanos ofrece controles preventivos y la posibilidad de emprender acciones directas que mitiguen el riesgo asociado al comportamiento humano, como hacer clic en un enlace que descargue malware, abrir archivos adjuntos maliciosos o visitar un sitio web con contenido malicioso. La GRH marca un hito importante y muy esperado en el avance hacia la próxima generación de ciberseguridad. Debido a los continuos errores de los empleados y de los usuarios, la GRH proporcionará una visibilidad sin precedentes del perfil de riesgo de una organización, puntuando a los usuarios según su riesgo y permitiendo a los CISO educar y proteger a la parte más arriesgada de su base de empleados. Con la visibilidad que ofrece la GRH sobre el perfil de riesgo de una organización, los equipos de seguridad pueden proteger a sus usuarios más vulnerables.

    Conecte los puntos entre los humanos & Tecnología

    Proteja su organización de forma más eficaz con la plataforma unificada de gestión de Human Risk de Mimecast.

    Nuestra Plataforma

    Componentes clave de un programa eficaz de gestión de riesgos humanos

    • Formación sobre concienciación en materia de seguridad

      A medida que las organizaciones evolucionan su estrategia de formación en materia de concienciación sobre la seguridad para tener en cuenta todos los aspectos del riesgo humano, es importante ser conscientes de que la formación en materia de concienciación y la gestión del riesgo humano no se oponen entre sí, sino que es mejor que vayan juntas. La formación sobre concienciación en materia de seguridad se centra en lo que los empleados saben sobre seguridad, una pieza importante pero incompleta de la ecuación. La gestión de los riesgos humanos colma las lagunas, pero permite comprender lo que hacen los empleados en relación con la seguridad: ¿qué decisiones buenas y malas en materia de seguridad toman habitualmente? ¿Son reincidentes? ¿Con qué frecuencia son atacados? ¿Qué puntuación de riesgo debe asignarse a este usuario de riesgo? Con este conocimiento, los profesionales de la seguridad pueden hacerse una idea de la distribución de los empleados de riesgo en su organización. Los análisis muestran que el ocho por ciento de los usuarios causan el 80 por ciento de los incidentes. No todos los usuarios son iguales en cuanto a su concienciación sobre la seguridad y el riesgo humano que suponen.

    • Aplicación y cumplimiento de las políticas

      El desarrollo y la aplicación de políticas que guíen el comportamiento aceptable dentro de la organización son una parte importante de la GRH. Esto va más allá de las políticas de seguridad para abarcar consideraciones más amplias de gestión de riesgos y cumplimiento. Hacer que los empleados conozcan las políticas de seguridad de la organización, cómo se aplican y cómo se hacen cumplir es un buen comienzo para garantizar un comportamiento seguro. Junto con la formación sobre concienciación en materia de seguridad, esto proporciona a los usuarios una comprensión amplia y eficaz de lo que se espera de ellos cuando se trata de mantener seguras sus organizaciones.

    • Seguimiento y evaluación continuos

      La plataforma HRM marca un hito importante y muy esperado en el avance hacia la próxima generación de ciberseguridad. En respuesta a la demanda de los clientes y del mercado de un medio más eficaz para mitigar el riesgo provocado por el error humano, la plataforma HRM proporcionará una visibilidad sin precedentes del perfil de riesgo de una organización, puntuando a los usuarios por riesgo y permitiendo a los CISO educar y proteger a la parte más arriesgada de su base de empleados. Esto se consigue mediante la supervisión y evaluación continuas del comportamiento de los empleados.

    Con una plataforma de GRH, los equipos de seguridad pueden hacer aflorar y centralizar las señales de riesgo en forma de un panel de riesgos humanos. Esto proporciona a los equipos de seguridad una puntuación de riesgos humana y una visibilidad basada en los datos de eventos procedentes tanto de métricas nativas como de herramientas de terceros. Una función clave de la plataforma HRM y del panel de riesgos humanos es integrar las conclusiones en el programa de formación de concienciación sobre seguridad de una organización. Esto redefine la forma en que los líderes de seguridad pueden gestionar el riesgo humano.

     

    Infografía que destaca los componentes clave de los programas eficaces de gestión de riesgos humanos

     

    Estrategias eficaces para mitigar los riesgos humanos

    • Realización periódica de simulacros de phishing

      Los programas de simulación de phishing pueden ayudar a proteger a las organizaciones de los ataques de phishing que podrían provocar costosas violaciones de datos o ataques de ransomware. Los programas de simulación de phishing pueden ayudar a comprender lo bien preparadas que están las organizaciones para hacer frente a los intentos de ataque de phishing y ofrecer a los empleados una experiencia táctil que les preparará para responder adecuadamente a cualquier ataque de phishing en el mundo real.

      Durante un ataque de phishing simulado, los empleados reciben un correo electrónico que imita fielmente lo que podrían ver en un ataque de phishing real, pero cualquier error o inacción será intrascendente, ya que los correos electrónicos de phishing simulado no contienen malware real. Sin embargo, los correos electrónicos de phishing simulados permitirán rastrear y registrar las acciones y respuestas de los empleados, lo que ayudará a calibrar la eficacia de la formación y las lagunas que aún deben colmarse para reforzar la concienciación en materia de seguridad.

    • Implantar un modelo de seguridad de confianza cero

      En lugar de establecer un perímetro de seguridad alrededor de una red y confiar en cualquier usuario que pueda acceder a ella, un modelo de confianza cero asume que cualquier identidad de usuario puede verse comprometida. Utiliza la autenticación multifactor (MFA) para mejorar la seguridad más allá de la combinación de nombre de usuario y contraseña y aplica un principio de "mínimo privilegio", dando al usuario el mínimo acceso posible en cada momento y exigiendo una validación adicional antes de aumentar los privilegios de acceso.

      La seguridad de confianza cero establece la confianza cada vez que un usuario intenta acceder a un activo del sistema, cotejando el activo con el perfil del usuario, la sensibilidad del activo al que se accede y el contexto de la actividad, como la ubicación o el dispositivo electrónico del usuario, o si el trabajo de ese usuario debería requerir siquiera ese nivel de acceso. Si las pistas del contexto no coinciden, se puede pedir al usuario que revalide su identidad antes de continuar.

    • Mejora de los protocolos de respuesta a incidentes

      Un plan de respuesta a incidentes describe los pasos necesarios para prepararse, responder y recuperarse de un ciberataque. Puede ser un diferenciador crucial en la forma en que las organizaciones contienen un ataque, limitan los daños, responden a la supervisión reglamentaria y garantizan la confianza de empleados y clientes. En términos de GRH, los protocolos de respuesta a incidentes deben reflejar el conocimiento sobre los usuarios que se ha obtenido a través de la supervisión y la evaluación.

    Cómo puede ayudarle Mimecast en la gestión del riesgo humano

    La gestión del riesgo humano ofrece a las organizaciones la visibilidad y el contexto que necesitan para reducir sus perfiles de riesgo y proteger a sus usuarios de las sofisticadas ciberamenazas. La plataforma de gestión de recursos humanos conectada de Mimecast está diseñada para prevenir las cambiantes y sofisticadas amenazas que apuntan al error humano dentro de las organizaciones. La plataforma de gestión de recursos humanos de Mimecast ofrece controles preventivos y la posibilidad de tomar medidas directas que mitiguen el riesgo. Con esta plataforma de gestión de recursos humanos conectada, los equipos de seguridad recibirán visibilidad del perfil de riesgo de su organización, puntuando a los usuarios por riesgo y permitiendo a los CISO educar y proteger a la parte más arriesgada de su base de empleados.

    Preguntas frecuentes sobre la gestión de Human Risk

    Las organizaciones están cambiando cada vez más su enfoque hacia la GRH. El riesgo humano es una de las amenazas más graves a las que se enfrentan las organizaciones hoy en día. Al priorizar la identificación, gestión y supervisión de los usuarios más arriesgados de su plantilla, las organizaciones pueden prevenir las amenazas internas antes de que surjan e identificar a los usuarios más arriesgados de su plantilla.

    Fomentar una cultura consciente de la seguridad es el paso más importante para mitigar el riesgo humano, así como desplegar una solución integral de gestión del riesgo humano que permita la supervisión continua y el análisis de datos del comportamiento de los usuarios para que los equipos de seguridad puedan identificar qué usuarios son más arriesgados.

    Primeros indicadores de compromiso
    		 Comportamientos que pueden identificarse desde el principio al supervisar a los usuarios y que indican qué usuarios son más susceptibles de sufrir ciberataques como el compromiso del correo electrónico empresarial, phishing, whaling, etc.
    Human Risk
    		  La posibilidad de que las acciones de un individuo, intencionadas o no, originadas interna o externamente, perturben o causen daños a una organización.
     
    Gestión de Riesgos Humanos

    Un enfoque holístico de la ciberseguridad centrado en identificar primero, cuantificar después, gestionar y, en última instancia, reducir el riesgo humano al que se enfrentan las organizaciones.
     
    Phishing
    		 Una forma de ciberdelincuencia en la que los atacantes embaucan a los objetivos para que revelen datos sensibles como números de cuentas bancarias, información de tarjetas de crédito, credenciales de acceso, números de la Seguridad Social y otra información personal identificable.
    Security Awareness Training

    Enseña a los usuarios a proteger sus activos, datos y recursos financieros, reduciendo la probabilidad de incidentes y violaciones de la seguridad.
    Confianza cero
    		  Un modelo de arquitectura de seguridad que exige que cada usuario sea comprobado y validado con respecto al acceso que se le permite en el sistema y al riesgo en torno a las funciones y los datos a los que intenta acceder.

     

    La GRH representa un gran avance para la ciberseguridad y se está convirtiendo en un componente cada vez más importante de las estrategias de seguridad de muchas organizaciones. Las tendencias en la gestión de los recursos humanos reflejan la creciente atención que se presta al comportamiento humano en la ciberseguridad, en particular a la forma en que el error humano es responsable de un número significativo de incidentes de ciberseguridad. Las tendencias futuras incluyen:

    • IA y aprendizaje automático: Los sistemas de gestión de riesgos humanos incorporarán cada vez más la inteligencia artificial y el aprendizaje automático, lo que facilitará a las organizaciones la identificación de patrones y la predicción de futuras amenazas.
    • Análisis de grandes datos: Con la llegada de la analítica de grandes datos, las organizaciones podrán recopilar y analizar más datos de múltiples fuentes, mejorando su capacidad para detectar indicadores de riesgo humano.
    • Gobernanza eficaz del riesgo: Las organizaciones adoptarán cada vez más marcos de gobernanza del riesgo que integren la GRH en su estrategia más amplia de ciberseguridad.

    Recursos relacionados con la gestión de riesgos humanos

    Resources_34.jpg
    Security Awareness Training

    Ola de soluciones de gestión de Human Risk de Forrester

    Analyst Report
    Resources_03.jpg
    Security Awareness Training

    Human Risk Command Center 

    Datasheet
    Resources_28.jpg
    Security Awareness Training

    Exposing Human Risk

    Ebook
    Back to Top