El objetivo de Kymatio es convertir el riesgo humano en inteligencia preventiva, lo cual le permite identificar vulnerabilidades conductuales, minimizarlas y reducir así el grado de exposición antes de que el negocio se vea afectado. Parte de lo que propone Kymatio llega a través de su plataforma en la nube de Gestión de Riesgos Humanos (Human Risk Management / HRM): un enfoque proactivo de ciberseguridad que reconoce, cuantifica y mitiga los riesgos derivados del comportamiento humano, ya sea intencional o accidental.
Esta categoría de soluciones ha ganado tracción en los últimos años, en buena medida porque los análisis han verificado que más del 70% de las brechas de seguridad involucran al ser humano. No es un tema nuevo: hace tres años Forrester preveía que el 90% de las brechas de datos tendrían en su origen algún error humano. Hoy, la gestión del riesgo humano forma parte de directivas y normativas internacionales como ISO 27.000, NIS o GDPR, y este es otro de los motivos por los que este tipo de soluciones está siendo adoptada no solamente en las grandes organizaciones, sino también en aquellas que forman parte de sus cadenas de suministros o de sus ecosistemas productivos. La cuestión, según Israel Morales, Director de Canales y Distribución para Latinoamérica de Kymatio, es detectar dónde se puede encontrar ese riesgo provocado por el “hacer” del ser humano.
Perfilar, identificar, entrenar
“Kymatio es un software que está en la nube y que ayuda a generar un perfil ciber-psicológico del usuario para prevenir cualquier incidente”, señaló Morales, quien aclara que este perfil (elaborado en base al acervo de cada empleado o usuario) sirve para detectar esas posibles vulnerabilidades conductuales, pero también para generar un entrenamiento que ayude a repeler las malas prácticas en cada caso, de manera granular.
“La clave está, por ejemplo, en detectar la sobrecarga emocional y cognitiva antes de que impacte el desempeño. Nuestra solución tiene un módulo que permite identificar señales tempranas de burnout o la necesidad de desconexión digital”, explicó Morales. Vale señalar que este riesgo puede manifestarse en cualquier punto de la pirámide jerárquica, y las brechas pueden manifestarse de varias formas, por lo que la herramienta contempla gestión de contraseñas, incidentes de ingeniería social, de compliance, protección del puesto de trabajo y más.
Kymatio en la región
Con base en México, el rol que desempeña Morales en la operación regional de Kymatio tiene visibilidad de otros mercados de interés, como Perú y Colombia, y parte de Centroamérica. En esos países no hay presencia directa sino a través de su distribuidor mayorista: Grupo Micronet.
Es este mayorista el que ayuda a generar alcance en otros países, como es el caso de Chile o Ecuador. “Tenemos planes para los siguientes años de expandirnos a Uruguay, Bolivia y Argentina, o bien Brasil. Esto no significa que no podamos hacer hoy negocio en esos países a través del mayorista o algún otro partner. Lo atendemos desde Colombia, que sería el punto relativamente más cercano de esos países”, aseguró el ejecutivo.
«La clave está, por ejemplo, en detectar la sobrecarga emocional y cognitiva antes de que impacte el desempeño. Nuestra solución tiene un módulo que permite identificar señales tempranas de burnout o la necesidad de desconexión digital».
En materia de partners, Morales los divide en dos: aquellos de perfil consultivo que pueden incluir las herramientas de Kymatio en su propio servicio de ciberseguridad (pentesting, campañas, reportes, assessments, analíticas) y otros con un conocimiento de las herramientas dedicados a la reventa hacia clientes finales. A los primeros los denomina “consultores” y a los últimos, “certificados”.
Para Morales éste es un año de expansión y el reclutamiento de canales es parte de esa estrategia. “Estamos enfocados puntualmente en canales consultivos en ciberseguridad, que generan servicio a los clientes usando nuestras herramientas, porque también esta información le puede ayudar al CISO o al Departamento de Tecnología e Infraestructura a encontrar brechas y robustecer en términos de seguridad”, explicó el Director de Canales, quien también dio cuenta del programa que rige la relación con esos canales. “Como dije, hay dos tipos de canales, con diferentes niveles de descuentos. También se les da una licencia demo gratuita para que puedan utilizar la herramienta”. El objetivo de esta última es que los clientes aprecien que los canales son consecuentes con las prácticas que proponen, utilizando en sus propias organizaciones estas herramientas. “Vamos también a trabajar mucho en el tema de marketing, porque queremos que conozcan la herramienta. Y también tendremos registro para protección de oportunidades. Habrá, de hecho, trabajo en conjunto con partners seleccionados en algunas cuentas, para darles un mayor valor y aumentar el nivel de satisfacción”.
La adopción de soluciones de HRM
¿Cuáles son los motores que activan la demanda de una solución como Kymatio en la región? Para Morales, hoy los CISOs quieren ayudar a la alta dirección a que los riesgos de ciberseguridad no impacten en el negocio y se pierda dinero, o eso afecte la reputación. Al mismo tiempo, en temas como burnout es posible que la información relevada por las áreas de TI gracias a la plataforma pueda resultar útil a Recursos Humanos. “El desafío es ayudar desde el departamento de TI para que se integre con el de RRHH de modo que puedan prevenir riesgos, como por ejemplo el relacionado con burnout”. Este estado de agotamiento puede contribuir a que se cometan errores o se salten medidas de seguridad. “Eso nos pasa a todos. Somos seres humanos”. Otro tanto puede darse con numerosas fuentes de distracción, como por ejemplo los problemas familiares.
Kymatio tiene un departamento de Psicología Organizacional en España para trabajar estas cuestiones y ponerlas al servicio de la ciberseguridad, sobre todo en tiempos de arquitecturas distribuidas, IA y trabajo a distancia. “Hoy en día, dentro del top 10 de ciberseguridad, en el número dos figuran la exfiltración de datos y la fuga interna de información”. Hoy la plataforma puede clasificar a los usuarios a través de 35 arquetipos, lo cual permite identificar en un momento dado quién puede ser un riesgo y así prevenirlo.
«El desafío es ayudar desde el departamento de TI para que se integre con el de RRHH de modo que puedan prevenir riesgos, como por ejemplo el relacionado con burnout».
“Lamentablemente las políticas gubernamentales en la región no tienen todavía la madurez suficiente”, destacó Morales, citando las experiencias de los Estados Unidos o Europa, donde existe obligación de informar los ataques sufridos para generar protección a nivel de la cadena de suministros. Sin embargo, agregó, muchas corporaciones están impulsando a compañías de menor tamaño —que forman parte de su ecosistema o de su cadena de suministros— a usar HRMs, de modo de cumplir con las normativas y los estándares.
Como caso excepcional de madurez en la adopción, Morales citó a la industria bancaria. Sin embargo, asegura, no falta mucho para que las áreas de negocio obliguen al resto a ejercer mejores prácticas. En última instancia, reconoció Morales, el uso de IA en la preparación y la ejecución de los ciberataques también está obligando a las organizaciones a madurar rápidamente en materia de ciberseguridad, y a lidiar con el riesgo humano.
