Los empleados, la principal debilidad TI de las empresas

Con un 46% de los incidentes de seguridad TI causados anualmente por los empleados, esta vulnerabilidad empresarial debe ser trabajada en

Empleados poco cuidadosos o desinformados son una de las principales causas tras de los incidentes de ciberseguridad. Mientras que el malware es cada vez más sofisticado, la realidad es que el factor humano puede suponer un peligro cada vez mayor.

En concreto, los empleados descuidados son una de las principales brechas en la armadura de la ciberseguridad corporativa en lo referente a ataques dirigidos. Mientras que los cibercriminales más expertos pueden utilizar un malware hecho a medida y unas técnicas de alta tecnología para planear un atraco, al final suelen aprovechar el punto de acceso más sencillo: la naturaleza humana.

De acuerdo con el estudio, uno de cada tres (29,6%) ataques dirigidos contra las empresas en España durante el año pasado, utilizó el phishing/ingeniería social como base. Por ejemplo, un administrativo descuidado puede abrir fácilmente un archivo malicioso simulando ser una factura de alguno de los numerosos proveedores. Este incidente puede afectar la infraestructura de una organización, haciendo que el contable llegue a ser cómplice de los ciberdelincuentes sin saberlo. 
 
“Los cibercriminales suelen utilizar a los empleados como punto de acceso a la infraestructura corporativa. Correos phishing, contraseñas débiles, llamadas falsas de soporte técnico, hemos llegado a ver de todo. Incluso una tarjeta flash olvidada o caída en el suelo del garaje o cerca de la mesa de alguien, puede llegar a comprometer a toda la empresa. Lo único que se necesita es que alguien no sea consciente de ello o no preste atención a la seguridad, y un dispositivo que pueda conectarse fácilmente a la red donde pueda causar estragos”, afirma David Jacoby, investigador de seguridad de Kaspersky Lab.

 Los ataques sofisticados a empresas no suceden todos los días, pero el malware convencional sí. Desafortunadamente, el estudio también nos muestra que los empleados descuidados siguen jugando un papel importante y causando infecciones de malware en el 46% de los incidentes en España.

Que los empleados oculten aquellos incidentes en los que se han visto involucrados puede derivar en consecuencias dramáticas y que el daño causado sea mayor. Incluso, un evento no informado puede ser la punta del iceberg de una brecha todavía mayor, y los equipos de seguridad necesitan ser capaces de identificar rápidamente las amenazas a las que se enfrentan para tomar las medidas oportunas.

Los trabajadores suelen poner a las organizaciones en peligro al no informar de un problema porque suelen tener miedo del castigo o se avergüenzan si son responsables de algo que no ha ido bien. Algunas empresas han introducido reglas estrictas e impuesto responsabilidades adicionales sobre los empleados, que no sólo son sobre tecnología, sino también en la cultura y formación de la organización. Y es ahí donde RRHH y la alta dirección necesitan involucrarse. 
 
“El problema derivado de ocultar incidentes debe transmitirse no sólo a los empleados, sino también a la alta dirección y al departamento de recursos humanos. Si los empleados ocultan esos incidentes debe haber un porqué. En algunos casos, las empresas cuentan con unas políticas muy estrictas, pero poco claras, que ponen una gran presión sobre los empleados, indicándoles que no deben o pueden hacer esto o aquello, y que serán responsables de si algo sale mal. Este tipo de políticas suelen crear gran ansiedad y dejar a los empleados ante una única posibilidad, la de evitar la penalización. Si su cultura de ciberseguridad es positiva, basada en un enfoque educativo en lugar de restrictivo, desde la cima a la base, los resultados serán evidentes”, comenta Alfonso Ramírez, Director General de Kaspersky Lab Iberia.
 
Asimismo, es de resaltar el modelo de seguridad industrial, donde la aproximación de información y de aprendizaje por error están en el centro de la empresa. Por ejemplo, en un reciente comunicado, Elon Musk de Tesla ha pedido que cada incidente que afecte a la seguridad de los trabajadores, le sea directamente reportado, de forma que pueda llegar a jugar un papel central en el cambio.