Los empleados del 40% de las empresas en todo el mundo ocultan los incidentes de seguridad cibernética debido a que temen ser avergonzados o ser disciplinados, puesto que casi la mitad de los casos (46%) fueron causados por ellos mismos, informó Kaspersky Lab y B2B International.
En un informe se reveló que el factor humano en la seguridad cibernética de las entidades es la principal razón de su vulnerabilidad, pues la desinformación o el descuido son una de las causas más comunes y solo es superado por los ataques dirigidos de malware.
Respecto a los descuidos, los empleados son uno de los mayores defectos en la defensa de la corporativa, pese a que los hackers generalmente usan programas específicos sobre los puntos frágiles de la naturaleza humana; es decir, solo el 49% de los ataques dirigidos son por virus o malware, seguidos por los exploits o la perdida mediante móviles (30%) y el phishing (28%).
Sin embargo, las organizaciones no reciben ataques dirigidos avanzados todos los días, pero el malware convencional ataca en masa, y en caso de tener trabajadores inadvertidos causan infecciones en el 53% de los casos.
El investigador de seguridad en Kaspersky Lab, David Jacoby, explicó que "a menudo los cibercriminales usan a los empleados como un punto de acceso para entrar a la infraestructura corporativa. Correos electrónicos que contienen phishing, contraseñas débiles, llamadas falsas de asistencia técnica puede poner en peligro a toda la red, lo único que se necesita es alguien que esté adentro, que no sepa nada o que no preste atención a la seguridad y ese dispositivo podría ser fácilmente conectado a la red donde podría causar estragos".
¿Por qué no es bueno ocultar los incidentes?
La gerente del Programa de Educación de Seguridad de Kaspersky Lab, Slava Borilin, explicó que los sucesos deben ser comunicados a los empleados, a los directivos y al área de recursos, pero el ocultarlos denotan políticas estrictas o poco claras que “fomentan los temores y dejan a los empleados con una sola opción: evitar el castigo a como dé lugar”.
Esto significa que la ciberprotección no se limita al ámbito tecnológico, sino también a la cultura y formación de una organización, de ahí la importancia de la participación de la alta dirección y recursos humanos.
Las empresas saben sus principales vulnerabilidades
De acuerdo al informe, el 52% de las entidades admitió que el personal es la mayor debilidad de su seguridad informática, seguido por la falta de capacitación (35%) e instalar softwares más sofisticados (43%).
La mejor protección
El combinar las herramientas adecuadas con las prácticas correctas, fomentar la comunicación, entrenar y planear al personal, así como promover el ambiente de trabajo adecuado, son los primeros pasos que las organizaciones deben tomar.
Particularmente las pequeñas y medianas empresas, pueden implementar soluciones de seguridad en las terminales, conforme a su necesidades sobre términos de funcionalidad, protección pre-configurada o configuración de seguridad avanzada.