Kaspersky advierte: “Hay muchos factores internos que pueden provocar incidentes corporativos”
En España, un 12 % de los ciberincidentes registrados tiene que ver con empleados que no cumplen el protocolo de seguridad.
“Aparte de las amenazas externas a la ciberseguridad, hay muchos factores internos que pueden provocar incidentes corporativos“, advierte Alexey Vovk, jefe de seguridad de la información de Kaspersky.
Esta compañía ha entrevistado a profesionales de seguridad informática que trabajan en pequeñas y medianas compañías para conocer cuál es exactamente el impacto de las personas en la ciberseguridad empresarial.
Según su estudio, hay más que simples errores. Durante los últimos dos años, los empleados, incluidos los de TI, infringieron de forma intencionada las normas de ciberseguridad. Este provocó un 5 % de los incidentes registrados. Otros profesionales de TI provocaron un 8 % de los incidentes por saltarse protocolos, cifra que baja al 2 % en el caso de sus compañeros no informáticos.
Si se analiza el comportamiento individual, se detecta que el problema más común entre los empleados es que hacen lo que está prohibido y no cumplen lo que se les exige de manera deliberada. El 8 % de los ciberincidentes está relacionado con contraseñas débiles o el hecho de no cambiarlas. En un 13 % de los casos, los trabajadores visitaron webs inseguras. Y otro 16 % se debe a las no actualizaciones de software y de las aplicaciones del sistema.
Kaspersky también revela que el 18 % se ha visto perjudicada por empleados que utilizaban sistemas no autorizados para compartir datos. Además, un 18 % y un 16 % de los trabajadores, respectivamente ha accedido a información con dispositivos a los que no se la había dado el visto bueno y enviado datos a direcciones personales de correo electrónico.
El 8 % de los encuestados se lamenta del despliegue de TI en la sombra. A esto hay que añadir el hecho de que un 11 % de las acciones maliciosas las cometió la plantilla para su propio beneficio.
“Los empleados de cualquier departamento, ya sean especialistas no informáticos o profesionales de la seguridad informática, pueden influir negativamente en la ciberseguridad”, advierte Alexey Vovk. “Por ello, es importante tener en cuenta los métodos de prevención de infracciones de la política de seguridad de la información a la hora de garantizar la seguridad, es decir, aplicar un enfoque integrado de la ciberseguridad”.
“Según nuestra investigación, además de que el 26 % de los incidentes cibernéticos los causan la violación de las políticas de seguridad de la información”, apunta, “y el 38 % de esas violaciones se producen debido a errores humanos.
Kaspersky explica que, en España, un 12 % de los ciberincidentes se explica por empleados que no cumplen el protocolo de seguridad.
“Como las cifras son alarmantes, es necesario crear una cultura de ciberseguridad en una organización desde el principio, desarrollando y aplicando políticas de seguridad, así como formando a los empleados en materia de ciberseguridad”, aconseja. “De este modo, el personal abordará las normas con mayor responsabilidad y comprenderá claramente las posibles consecuencias de sus infracciones”.