La superficie de ataque humano es la totalidad de todos los agujeros de seguridad explotables dentro de una organización que se crean a través de las actividades y vulnerabilidades del personal. Los elementos de la superficie de ataque humano de una organización incluyen negligencia, errores, enfermedad, muerte, amenazas internas y susceptibilidad a la ingeniería social.
La ingeniería social es una amenaza tan generalizada y grave para la seguridad empresarial que a menudo se la considera una superficie de ataque por sí sola. La superficie de ataque de ingeniería social incluye una amplia variedad de técnicas que incluyen phishing, cebo con medios infestados de malware y acciones simples como seguir a una persona autorizada a través de una puerta hacia un área segura. Para proteger a una organización de la ingeniería social, los empleados deben estar capacitados para reconocer las tácticas comunes que se utilizan y se les debe instar a que sospechen de cualquier actividad que pueda ser un intento de explotación. Las pruebas de penetración deben realizarse con regularidad para simular ataques de ingeniería social y detectar cualquier área en la que los empleados sigan siendo vulnerables.
La negligencia y el error de los empleados requieren una vigilancia similar. Los esfuerzos para prevenir errores incluyen asegurar que los empleados estén adecuadamente capacitados para sus tareas y que tengan los recursos disponibles para desempeñarse a un nivel aceptable. El exceso de trabajo y el estrés ocupacional pueden provocar agotamiento y aumentos tanto en errores como en negligencia. Para protegerse contra ellos, se deben evitar las horas de trabajo excesivas siempre que sea posible y se debe promover y fomentar el equilibrio entre la vida laboral y personal mediante iniciativas en el lugar de trabajo.
La enfermedad y la muerte de los empleados pueden dejar a una organización vulnerable si esas personas poseen habilidades y conocimientos únicos. Para mitigar el impacto, una organización debe tener programas establecidos para que dichas personas orienten a otros empleados.
Aunque las amenazas internas son decididamente menos comunes que otros elementos de la superficie de ataque humano, cualquier incidente puede causar un daño significativo. La protección contra amenazas internas incluye medidas de seguridad conocidas: múltiples programas de exploración de software espía, programas antivirus, cortafuegos y una rutina rigurosa de copia de seguridad y archivo de datos. Además, es importante garantizar una supervisión adecuada de los empleados y controles estrictos sobre los privilegios.