Las violaciones de las políticas de seguridad de la información de una organización por parte de los empleados son tan peligrosas como los ataques de hackers externos, según un reciente estudio de Kaspersky. En España, en los últimos dos años, el 12% de los incidentes cibernéticos en empresas se produjeron porque los empleados se saltaron el protocolo de seguridad. Esta cifra es casi igual a los daños causados por las brechas de ciberseguridad, el 36% de las cuales se produjeron por ataques de hackers.
Existe una percepción bastante acertada de que el error humano es una de las principales causas de los incidentes cibernéticos en las empresas. Sin embargo, las cosas no son tan blancas o negras. El estado de la ciberseguridad de una organización es complicado y hay más factores que entran en la ecuación. Por ello, Kaspersky ha realizado un estudio para conocer la opinión de los profesionales de seguridad informática que trabajan para pequeñas y medianas empresas (pymes) de todo el mundo sobre el impacto que tienen las personas en la ciberseguridad de una empresa. El objetivo de la investigación era recopilar información sobre los diferentes grupos de personas que influyen en la ciberseguridad, teniendo en cuenta tanto al personal interno, como a los actores externos.
El estudio de Kaspersky reveló que, además de los errores genuinos, las violaciones de las políticas de seguridad de la información por parte de los empleados resultan uno de los mayores problemas para las empresas. Los encuestados afirmaron que, en los últimos dos años, tanto los empleados ajenos a TI como los de TI, realizaron acciones intencionadas para infringir las normas de ciberseguridad. Afirmaron que este tipo de infracciones de las políticas por parte de los responsables de seguridad informática causaron el 5% de los incidentes cibernéticos en los últimos dos años. Otros profesionales de TI y sus compañeros no informáticos provocaron el8% y el 2% de los ciberincidentes, respectivamente, al infringir los protocolos de seguridad.
En cuanto al comportamiento individual de los empleados, el problema más común es que éstos hacen deliberadamente lo que está prohibido y, a la inversa, no cumplen lo que se les exige. Así, los encuestados afirman que una cuarta parte (8%) de los incidentes cibernéticos de los dos últimos años se produjeron por el uso de contraseñas débiles o por no cambiarlas a tiempo. La otra causa de casi una cuarta parte (13%) de las violaciones de la ciberseguridad fue el resultado de que el personal visitara sitios web no seguros. Otro 16% afirma haber sufrido incidentes cibernéticos porque los empleados no actualizaron el software o las aplicaciones del sistema cuando era necesario.
El uso de servicios o dispositivos no solicitados es otra de las principales causas de infracciones de la política de seguridad de la información. Casi una cuarta parte (18%) de las empresas sufrieron ciberincidentes porque sus empleados utilizaron sistemas no autorizados para compartir datos. Por otra parte, el 18% de los empleados accedieron a datos a través de dispositivos no autorizados, mientras que el 16% envió datos a direcciones personales de correo electrónico. Otra acción denunciada fue el despliegue de TI en la sombra en dispositivos de trabajo: el 8% de los encuestados indica que esto provocó sus incidentes cibernéticos.
Resulta alarmante que los encuestados admitan que, además del comportamiento irresponsable ya mencionado, el 11% de las acciones maliciosas fueron cometidas por empleados para su propio beneficio. Otra conclusión que ha resultado de interés es que estas infracciones por parte de los empleados son un problema relativamente importante en los servicios financieros, como ha señalado el 34% de los encuestados de este sector.
"Aparte de las amenazas externas a la ciberseguridad, hay muchos factores internos que pueden provocar incidentes corporativos. Como demuestran las estadísticas, los empleados de cualquier departamento, ya sean especialistas no informáticos o profesionales de la seguridad informática, pueden influir negativamente en la ciberseguridad. Por ello, es importante tener en cuenta los métodos de prevención de infracciones de la política de seguridad de la información a la hora de garantizar la seguridad, es decir, aplicar un enfoque integrado de la ciberseguridad. Según nuestra investigación, además de que el 26% de los incidentes cibernéticos los causan la violación de las políticas de seguridad de la información, y el 38% de esas violaciones se producen debido a errores humanos. Como las cifras son alarmantes, es necesario crear una cultura de ciberseguridad en una organización desde el principio, desarrollando y aplicando políticas de seguridad, así como formando a los empleados en materia de ciberseguridad. De este modo, el personal abordará las normas con mayor responsabilidad y comprenderá claramente las posibles consecuencias de sus infracciones", comenta Alexey Vovk, jefe de seguridad de la información de Kaspersky.
Para mantener la infraestructura de su empresa a salvo de las consecuencias de las infracciones de las políticas de seguridad de la información por parte de los empleados, Kaspersky recomienda:
- Utiliza productos de ciberseguridad con funciones de control de aplicaciones, sitios web y dispositivos, como Kaspersky Endpoint Security for Business y Kaspersky Endpoint Security Cloud. Esta funcionalidad puede limitar el uso de aplicaciones, sitios web y periféricos no solicitados, reduciendo los riesgos de infección.
- La función Advanced Anomaly Control de Kaspersky Endpoint Security for Business Advanced, Kaspersky Total Security for Business y Kaspersky Endpoint Detection and Response Optimum, ayuda a evitar actividades potencialmente peligrosas que se salen de lo normal, tanto las realizadas por el usuario como las iniciadas por el atacante que ya ha tomado el control del sistema.
- Controla las transferencias de datos en ambos sentidos: dentro y fuera del sistema, ya que esto también conlleva riesgos. Con Kaspersky Endpoint Security Cloud, Kaspersky Security for Mail Server y Kaspersky Security for Microsoft Office 365, este tipo de problemas pueden resolverse con la detección de datos y la función de filtrado de contenidos.
- Kaspersky Security for Internet Gateway cuenta con filtrado de contenidos que evita la transmisión de datos no solicitados independientemente de su tipo, estado de protección de la plataforma o comportamiento del usuario.
El informe completo y más información sobre el impacto humano en la ciberseguridad de las empresas están disponibles a través del siguiente enlace.
