La higiene cibernética conecta principios de seguridad confiables con los hábitos individuales y únicos de una persona.
Casi todos están preocupados por su seguridad y privacidad, tanto en línea como fuera de línea. Desde que la informática personal se convirtió en una cosa, las personas se han vuelto cada vez mejores en el uso de las PC para ser más productivas, mejor informadas o entretenidas.
Mantenerse seguro mientras hace todo esto en computadoras portátiles y teléfonos inteligentes no es fácil. El proceso de comprender las amenazas a la seguridad y la privacidad de uno a menudo requiere una cierta comprensión técnica de las computadoras y las redes, y este nivel de comprensión a menudo no es accesible para la persona promedio.
Es esta misma falta de comprensión técnica lo que a menudo explotan los atacantes. Durante mucho tiempo, los ciberdelincuentes han identificado a las personas como el eslabón más débil (sitio en inglés) de la ciberseguridad y apuntan a sus dispositivos personales. Las personas se convierten en víctimas al no seguir las mejores prácticas o al revelar demasiada información personal.
¿Cómo podemos ayudar a las personas a estar más seguras sin pedirles que se conviertan en expertos en tecnología?
Con el fin de empoderar a las personas para que tomen mejores decisiones y mejoren su postura de seguridad personal, existen principios rectores que sirven como un medio común para transmitir la sabiduría convencional y empoderar a las personas. Todo el mundo puede aplicar estos principios.
De hecho, algunos principios fundamentales de seguridad han evolucionado en el campo de la seguridad. Un ejemplo simple se conoce como "privilegio mínimo"; en otras palabras, cualquiera que no necesite tener acceso a una cuenta no debería tener acceso a ella. Por ejemplo, nadie más que tú debería poder acceder a tu cuenta de correo electrónico porque tus correos electrónicos son privados. (Es por eso que compartir la contraseña de tu cuenta de correo electrónico nunca es una buena práctica de seguridad).
El papel de la ciberhigiene
La higiene cibernética describe las prácticas y los pasos que las personas toman para mantener una sólida postura de seguridad. Estas recomendaciones se pueden conectar con los principios rectores de seguridad que han surgido, y la aplicación de las prácticas y los pasos respalda el crecimiento de una buena higiene cibernética.
La Agencia de la Unión Europea para la Seguridad de las Redes y la Información (ENISA) afirmó (sitio en inglés) que “la ciberhigiene debe verse de la misma manera que la higiene personal y, una vez que se integre adecuadamente en una organización, serán simples rutinas diarias, buenos comportamientos y controles ocasionales para asegurarse de que la la salud en línea de la organización está en óptimas condiciones.”
Al transformar las prácticas y los pasos en simples rutinas diarias, buenos comportamientos y controles ocasionales, las personas pueden desbloquear el objetivo final de la higiene cibernética, que es formar hábitos que fortalezcan su postura de seguridad.
La higiene cibernética conecta principios de seguridad confiables con los hábitos individuales y únicos de una persona. Es a través de esta conexión que la persona promedio puede mejorar su juego de seguridad sin convertirse en un experto técnico.
Una buena higiene cibernética va más allá de lo que realmente pueden hacer los productos de seguridad. Un producto de seguridad puede automatizar la búsqueda de infecciones o bloquear amenazas conocidas entrantes. Un buen producto de seguridad es capaz de contrarrestar las amenazas más recientes y más sofisticadas, puede mitigar el riesgo de una amenaza.
Sin embargo, incluso el mejor software no puede reducir el riesgo real de ser atacado. Eso es porque este riesgo está determinado por el comportamiento de una persona. Si alguien sigue descargando archivos de sitios web no confiables y hace clic en todos los enlaces de la web, maximizará las posibilidades de convertirse en un objetivo.
Este escenario se demuestra aún más con la siguiente analogía: usar el cinturón de seguridad al conducir no significa que estés seguro al conducir más rápido. En cambio, significa que se reduce el impacto del choque a velocidades regulares. Lo mismo vale para un producto de seguridad: Reduce el impacto, no el riesgo. Reducir este riesgo está relacionado con tener un buen comportamiento, o lo que es lo mismo, una buena ciberhigiene.
Dimensiones de la ciberhigiene
En Avast, analizamos la higiene cibernética en diferentes dimensiones de riesgo que llamamos vectores de higiene cibernética. La evaluación de cada individuo y cada dispositivo a través de estos vectores nos lleva a una puntuación de riesgo que determina cuánto riesgo incurre una persona con respecto a cada uno de estos aspectos. A esta puntuación la llamamos Puntuación de seguridad en línea (sitio en inglés). Hay un puntaje para cada dimensión que evaluamos, así como un puntaje combinado en todas las dimensiones que brindan una imagen general de dónde se encuentra un individuo.
- La higiene del sistema operativo determina si alguien está manteniendo su dispositivo con versiones actualizadas del sistema operativo. Las versiones actuales del sistema operativo se consideran más seguras y, a menudo, incluyen parches de seguridad que reducen el riesgo de seguridad.
- La higiene de las aplicaciones se refiere al riesgo que proviene de las aplicaciones instaladas en el dispositivo que pueden incluir vulnerabilidades que se aprovechan si no se mantienen o actualizan.
- La higiene web evalúa el riesgo al estar en línea y navegar por la web. Incluye una multitud de factores con respecto a la seguridad y privacidad de los sitios web visitados.
- La higiene del administrador verifica si las personas mantienen su sistema de una manera que garantiza que los usuarios sin privilegios no puedan controlar fácilmente la computadora.
- La higiene de contraseñas ayuda a garantizar que la administración de contraseñas de la persona sea saludable.
- La higiene del hardware funciona con la configuración del hardware del dispositivo para garantizar que el dispositivo físico no pueda ser explotado si está expuesto a vulnerabilidades.
- La higiene de la configuración de seguridad garantiza que se maximice la protección posible mediante medidas de software.
- La higiene de las copias de seguridad determina si la persona mantiene copias de seguridad de sus datos en la nube o si utiliza almacenamiento local fuera de línea.
- La higiene de la red mide la frecuencia con la que alguien se conecta a redes que son inherentemente riesgosas, como una red Wi-Fi abierta.
Cómo mitigar los riesgos para mejorar la seguridad
La forma en que las personas pueden beneficiarse de las evaluaciones de higiene cibernética de Avast en el puntaje de seguridad en línea (sitio en inglés) es tomando medidas para reducir esos puntajes de riesgo y, por lo tanto, mejorar su postura de seguridad. El riesgo se define típicamente como “exposición a tiempos de riesgo”. En este contexto, la peligrosidad corresponde a las deficiencias en las dimensiones de ciberhigiene.
Por ejemplo, si alguien ejecuta un sistema operativo antiguo para el que ya no se publican actualizaciones o visita con frecuencia sitios web inseguros, es posible que no se produzca un ataque de inmediato. Sin embargo, cuanto más tiempo permanezca vulnerable el dispositivo, mayor será el riesgo de un ataque.
El razonamiento simple aquí es que los atacantes tienen más tiempo para apuntar al dispositivo. Por lo tanto, el peligro es la posibilidad de que ocurra un ataque, y la exposición describe el tiempo que existe un peligro. Juntos, definen el riesgo general.
Al eliminar una condición peligrosa (por ejemplo, al actualizar el sistema operativo), estamos reduciendo el riesgo de manera efectiva. Así es como la higiene cibernética puede ser útil: aumenta la conciencia sobre los riesgos de seguridad y privacidad que tienen, a sabiendas o sin saberlo, y proporciona las mejores prácticas de seguridad para mitigar esos riesgos.