El factor humano, principal debilidad en la seguridad TI

El factor humano, principal debilidad en la seguridad TI

Los ciberdelincuentes han sabido siempre que las personas son elemento muy vulnerable, motivo por el que no cesan de idear y generar nuevas estrategias de ataque, buena parte de las cuales logra el éxito. Fe de ello dan diversas estadísticas que coinciden en que el incremento de incidencias originadas por el factor humano no cesa de aumentar. En este ámbito abundan los trabajadores poco cuidadosos o desinformados, que se van transformando en una de las principales causas tras este tipo de incidentes. En otras palabras, mientras que el malware es cada vez más sofisticado, la realidad es que el factor humano puede suponer un peligro cada vez mayor.

Pero en la época en la que vivimos, los cambios en las comunicaciones, Internet, redes sociales, intensificación del uso de la Nube, el IoT, Big Data… modifican constantemente el contexto del manejo de la información con una velocidad y dinámica que exige a los usuarios tomar conciencia de la importancia de su rol en este ámbito. Porque además, ya no es cuestión que atañe sólo al área de sistemas o de seguridad informática, es que se trata de un tema que atraviesa transversalmente una organización comprometiendo a todas las personas que lo conforman.

De acuerdo con el nuevo informe elaborado por Kaspersky Lab y B2B International: “El factor humano en la seguridad TI: los empleados hacen vulnerables a las empresas”,  uno de cada tres (29,6%) ataques dirigidos contra las empresas en España durante el año pasado, utilizó el phishing/ingeniería social como base. Así, un administrativo descuidado puede abrir fácilmente un archivo malicioso que simula ser una factura de alguno de los numerosos proveedores. Este incidente puede afectar la infraestructura de una organización, haciendo que el contable llegue a ser cómplice de los ciberdelincuentes sin saberlo.

Los ataques sofisticados a empresas no suceden todos los días, pero el malware convencional sí. Desafortunadamente, el estudio muestra también que los empleados descuidados siguen jugando un papel importante y causando infecciones de malware en el 46% de los incidentes en España.

David Jacoby, investigador de seguridad de Kaspersky Lab
David Jacoby, investigador de seguridad de Kaspersky Lab

“Los cibercriminales suelen utilizar a los empleados como punto de acceso a la infraestructura corporativa. Correos phishing, contraseñas débiles, llamadas falsas de soporte técnico, hemos llegado a ver de todo. Incluso una tarjeta flash olvidada o caída en el suelo del garaje o cerca de la mesa de alguien, puede llegar a comprometer a toda la empresa. Lo único que se necesita es que alguien no sea consciente de ello o no preste atención a la seguridad, y un dispositivo que pueda conectarse fácilmente a la red donde pueda causar estragos”, afirma David Jacoby, investigador de seguridad de Kaspersky Lab.

El informe insiste en que los empleados descuidados son una de las principales brechas en la armadura de la ciberseguridad corporativa en lo referente a ataques dirigidos. Mientras que los cibercriminales más expertos pueden utilizar un malware hecho a medida y unas técnicas de alta tecnología para planear un atraco, al final suelen aprovechar el punto de acceso más sencillo: la naturaleza humana.

“Los empleados suelen ocultar los incidentes de seguridad en el 40% de las empresas españolas”, indica el informe elaborado por Kaspersky Lab y B2B International. Con un 46% de los incidentes de seguridad TI causados anualmente por los empleados, esta vulnerabilidad empresarial debe ser trabajada en muchos niveles y no sólo por el departamento de seguridad TI. ¿Pero cuál es la razón de esta actitud?

Que los empleados oculten aquellos incidentes en los que se han visto involucrados, puede derivar en consecuencias dramáticas y hacer que el daño causado sea mayor. Incluso un evento no informado puede ser la punta del iceberg de una brecha todavía mayor, y los equipos de seguridad necesitan ser capaces de identificar rápidamente las amenazas a las que se enfrentan para tomar las medidas oportunas.

Los ataques sofisticados a empresas no suceden todos los días, pero el malware convencional sí

Los trabajadores pueden poner a las organizaciones en peligro al no informar de un problema porque suelen tener miedo del castigo o bien se avergüenzan si son responsables de algo que no ha ido bien. Algunas empresas han introducido reglas estrictas e impuesto responsabilidades adicionales a los empleados, que no sólo son sobre tecnología, sino también en la cultura y formación de la organización. Y es ahí donde RRHH y la alta dirección necesitan involucrarse.

Empresas y organizaciones de todo el mundo están dándose cuenta del problema que puede llegar a suponer que los empleados las hagan vulnerables: el 45.3% de las empresas españolas encuestadas admite que sus empleados son su principal debilidad en la seguridad TI. La necesidad de implementar medidas dirigidas al personal es cada vez más evidente: el 22% de las empresas en nuestro país están analizando cómo mejorar la seguridad mediante la formación, haciendo que este sea el tercer método de ciberdefensa más popular, después de la implementación de un software más sofisticado (40%) y la incorporación de más personal de seguridad TI (31.6%)

“La mejor manera de proteger a las organizaciones frente a las ciberamenazas relacionadas con las personas es combinar las herramientas adecuadas con las prácticas adecuadas. Se debe incluir también a RRHH y a la alta dirección para motivar y animar a los empleados a que sean diligentes y soliciten ayuda en el caso de incidentes. La formación sobre seguridad a los empleados, aportando unas claras instrucciones en lugar de unos documentos voluminosos, la construcción de habilidades y la motivación junto con la creación de la atmósfera adecuada, son los primeros pasos que toda organización debe tomar” comentan en la empresa.

En cuanto a las tecnologías de seguridad, la mayoría de las amenazas pensadas y dirigidas contra los empleados descuidados, incluidos phishing, pueden ser resueltas mediante el uso de soluciones de seguridad de dispositivos. Esto puede ser suficiente para cubrir las necesidades de las pymes en cuanto a funcionalidad, protección preconfigurada o configuración de seguridad avanzada, minimizando sus riesgos.

Alfonso Ramírez, director general de Kaspersky Lab Iberia
Alfonso Ramírez, director general de Kaspersky Lab Iberia

“El problema derivado de ocultar incidentes debe transmitirse no sólo a los empleados, sino también a la alta dirección y al departamento de recursos humanos. Si los empleados ocultan esos incidentes debe haber un porqué. En algunos casos, las empresas cuentan con unas políticas muy estrictas, pero poco claras, que ponen una gran presión sobre los empleados, indicándoles que no deben o pueden hacer esto o aquello, y que serán responsables de si algo sale mal. Este tipo de políticas suelen crear gran ansiedad y dejar a los empleados ante una única posibilidad, la de evitar la penalización. Si su cultura de ciberseguridad es positiva, basada en un enfoque educativo en lugar de restrictivo, desde la cima a la base, los resultados serán evidentes”, concluye Alfonso Ramírez, Director General de Kaspersky Lab Iberia.