0

Empleados de 40% de las empresas ocultan los incidentes de seguridad cibernética

Kaspersky_OnlineFraudInforme de Kaspersky Lab revela que el 52% de las empresas admite que el personal es la mayor debilidad de su seguridad informática.

São Paulo, Brasil, Julio 2017

Según el nuevo informe realizado por Kaspersky Lab y B2B International, “Factor humano en la seguridad de TI: cómo los empleados hacen que las empresas sean vulnerables desde adentro”, los empleados de 40% de las empresas en todo el mundo ocultan los incidentes de seguridad de TI ya sea por vergüenza o por temor a ser disciplinados. Cada año, 46% de estos incidentes son ocasionados por los propios empleados, motivo por el cual esta vulnerabilidad en las empresas debe ser atendida en muchos niveles, no solo por el departamento de seguridad de TI.

Abriendo la puerta a los hackers
La desinformación o el descuido de los empleados son una de las causas más comunes en un incidente de ciberseguridad, superado sólo por el malware. Mientras que el malware se vuelve cada vez más sofisticado, la triste realidad es que el factor humano puede representar un peligro aún mayor.

En particular, el descuido de los empleados es uno de los mayores defectos en la defensa de la ciberseguridad corporativa cuando se trata de ataques específicos.

A pesar de que los hackers avanzados siempre pueden usar malware a la medida y técnicas de alta tecnología para planear un ataque, es probable que comiencen con la explotación del punto de entrada más fácil, la naturaleza humana.

Según la investigación, uno de cada tres (28%) ataques dirigidos contra empresas durante el año pasado tenía como origen el phishing o la ingeniería social. Por ejemplo, un contador descuidado podría abrir fácilmente un archivo malicioso disfrazado de factura de uno de los numerosos contratistas de una empresa. Esto podría paralizar toda la infraestructura de la organización y haría del contador un cómplice involuntario de los atacantes.
kas1907“A menudo los cibercriminales usan a los empleados como un punto de acceso para entrar a la infraestructura corporativa. Correos electrónicos que contienen phishing, contraseñas débiles, llamadas falsas de asistencia técnica… lo hemos visto todo. Incluso una tarjeta flash común que se le ha caído a alguien en el estacionamiento de la oficina o cerca del escritorio de la secretaria puede poner en peligro a toda la red, lo único que se necesita es alguien que esté adentro, que no sepa nada o que no preste atención a la seguridad y ese dispositivo podría ser fácilmente conectado a la red donde podría causar estragos”, dijo David Jacoby, investigador de seguridad en Kaspersky Lab.

Las organizaciones no reciben ataques dirigidos avanzados todos los días, pero el malware convencional sí ataca en masa. Lamentablemente, la investigación muestra que incluso en el caso del malware, los empleados no conscientes y descuidados a menudo también están involucrados, causando así infecciones de malware en 53% de los casos.

Jugando al escondite: Por qué el departamento de recursos humanos y la dirección deberían involucrarse
Ocultar los incidentes en los que se ha involucrado el personal puede traer serias consecuencias, pues aumenta el daño causado de manera general. Incluso un evento que no se informa podría indicar que hay una brecha mucho mayor y los equipos de seguridad necesitan identificar rápidamente las amenazas que enfrentan para elegir las tácticas de mitigación adecuadas.

Sin embargo, el personal preferiría poner a las organizaciones en riesgo antes que denunciar un problema porque temen el castigo o se avergüenzan de ser responsables de un error. Algunas empresas han introducido normas estrictas e imponen una mayor responsabilidad a los empleados, en lugar de alentarlos a que simplemente estén alertas y cooperen. Esto significa que la ciberprotección no se limita al ámbito tecnológico, sino también a la cultura y formación de una organización. Ahí es donde la alta dirección y recursos humanos necesitan participar.

“El problema de ocultar los incidentes debe comunicarse no sólo a los empleados, sino también a la dirección de la empresa y al departamento de recursos humanos. Si los empleados ocultan incidentes, debe haber una razón. En algunos casos, las empresas introducen políticas estrictas, pero poco claras y ponen demasiada presión al personal al advertirles que no hagan esto o aquello, o serán responsables si algo sale mal. Tales políticas fomentan los temores y dejan a los empleados con una sola opción: evitar el castigo a como dé lugar. Si su cultura de ciberseguridad es positiva, basada en una estrategia educativa, en lugar de ser restrictiva, desde los puestos directivos hacia abajo, los resultados serán obvios”, comenta Slava Borilin, gerente del Programa de Educación de Seguridad de Kaspersky Lab.

Borilin también recuerda un modelo de seguridad industrial, donde un método de informar y “aprender por error” es el núcleo del negocio. Por ejemplo, en su reciente declaración, Elon Musk, de Tesla, pidió que todos los incidentes que afectaban la seguridad de los trabajadores le fueran reportados directamente a él, de modo que pudiera desempeñar un papel central en el cambio.

El factor humano: clima laboral y más
Las organizaciones de todo el mundo se están dando cuenta de que su propio personal puede hacer a sus empresas vulnerables: 52% de las empresas encuestadas admite que el personal es la mayor debilidad de su seguridad informática. La necesidad de implementar medidas centradas en el personal es cada vez más evidente: 35% de las empresas busca mejorar la seguridad a través de la capacitación del personal, lo que lo convierte en el segundo método entre los más populares de defensa cibernética, superada sólo por la instalación de software más avanzado (43%).

La mejor manera de proteger a las organizaciones contra las amenazas cibernéticas relacionadas con el personal es combinar las herramientas adecuadas con las prácticas correctas. Esto debe involucrar los esfuerzos de recursos humanos y de la administración para motivar y alentar a los empleados a estar atentos y buscar ayuda en caso de algún incidente. Entrenar al personal para su preparación respecto a la seguridad, proporcionarle directrices claras en lugar de documentos de muchas páginas, dotar de habilidades fuertes y motivación y fomentar el ambiente de trabajo adecuado, son los primeros pasos que las organizaciones deben tomar.

En cuanto a las tecnologías de seguridad, la mayoría de las amenazas dirigidas a empleados no conscientes o descuidados –entre ellas el phishing– pueden ser tratadas con soluciones de seguridad en las terminales. Estas soluciones pueden abarcar las necesidades particulares tanto de PyMEs, como de grandes empresas, en términos de funcionalidad, protección preconfigurada o configuración de seguridad avanzada, para minimizar los riesgos.

Si desea leer el informe completo “Factor humano en la seguridad de TI: cómo los empleados hacen que las empresas sean vulnerables desde adentro”, visite nuestro blog: https://blog.kaspersky.com.mx/human-factor-weakest-link/10790/

Acerca de Kaspersky Lab
Kaspersky Lab es una empresa global de ciberseguridad que está celebrando su vigésimo aniversario en 2017. La profunda inteligencia de amenazas y pericia en seguridad de Kaspersky Lab se transforma constantemente en soluciones y servicios de seguridad para proteger a las empresas, infraestructuras críticas, gobiernos y consumidores de todo el mundo. El portafolio de seguridad integral de la compañía incluye protección líder para endpoints y una serie de soluciones y servicios de seguridad especializados para luchar contra amenazas digitales sofisticadas y en evolución. Más de 400 millones de usuarios están protegidos por las tecnologías de Kaspersky Lab y ayudamos a 270,000 clientes corporativos a proteger lo que más valoran.

Más información en http://latam.kaspersky.com.

Ordenado por: Consumo/Eventos, Seguridad Tags: , ,

Comparta esta publicación

Artículos relacionados

Escriba su comentario

Ud. tiene que estar conectado para publicar comentarios.

Red de publicaciones IDG en Latinoamérica: Computerworld Ecuador - Computerworld Colombia - CIO Perú // Contáctenos
© 2017 Notas de Prensa TI - All rights reserved ---- WordPress - Tema adaptado por GiorgioB