Los avances tecnológicos simplifican nuestras vidas y hacen que nuestros negocios sean más eficientes. Este es el lado positivo. El lado negativo es que, conforme aumenta nuestra dependencia de la tecnología, crecen también las oportunidades para los ciberdelincuentes.
Por suerte, los expertos en ciberseguridad de todo el mundo han desarrollado múltiples soluciones de eficacia demostrada para impedir los ataques de los hackers con herramientas como software antivirus o autenticación de dos factores. Sin embargo, aunque ya contamos con estas herramientas, su implementación depende de los humanos, quienes también son los encargados de garantizar su correcto funcionamiento. Esto implica que la eficacia de la seguridad es proporcional a la eficacia humana, de lo que se desprende que los errores y vulnerabilidades son elementos naturales.
No cabe duda de que existe un amplio margen de mejora en relación con la eficacia con la que los humanos gestionan la ciberseguridad. A continuación, analizaremos algunos aspectos y aportaremos soluciones.
¿Qué es el factor humano?
Aunque la naturaleza humana es propensa a cometer errores, cuando se trata de la seguridad, el más mínimo fallo puede implicar una grave vulneración de datos, y no es raro que esto suceda. Los estudios demuestran que el 46% de los ataques e incidentes de ciberseguridad se debieron a descuidos o falta de formación. Se trata de una cifra alarmante que, sin embargo, podría indicar solo la punta del iceberg, puesto que se sabe que, en el 40% de las empresas de todo el mundo, los empleados han admitido no notificar los incidentes de seguridad cuando suceden.
La pregunta, pues, sería por qué los empleados son responsables de tantas violaciones de la seguridad. ¿Son descuidados? ¿Simplemente no prestan atención? Aunque probablemente la respuesta no sea tan directa, es posible que estos factores influyan de forma inconsciente en la falta de notificación de los incidentes.
Quizá sencillamente no sean conscientes de la gravedad de una ciberamenaza y del posible gran impacto sobre la empresa y también sobre sus puestos de trabajo. Le animamos a que reúna a sus trabajadores y les explique la importancia de mantenerse alerta y las posibles repercusiones. Los últimos informes indican que el costo promedio de una vulneración de datos en 2020 asciende a 3,86 millones de USD, sin incluir el daño infligido a su reputación. Muchas empresas no lograrían recuperarse de un varapalo como este, así que es importante presentar los hechos para que su fuerza laboral comience a prestar más atención.
En cuanto a si son descuidados, quizá la realidad no sea que no quieren notificar los incidentes, sino que no saben cómo hacerlo. Configure un correo electrónico o una línea de teléfono donde los usuarios puedan notificar fácilmente cualquier actividad sospechosa y remita al equipo de TI instantáneas para que actúe inmediatamente.
La formación es clave
Lo que para muchos puede ser una falta de atención, en realidad puede ocultar una falta de formación sobre las estafas actuales y las señales de alarma. La formación de los empleados es esencial, ya que ayuda a los trabajadores a permanecer alerta durante su día a día. Nuestra dependencia de la tecnología lleva aparejado un continuo aumento de los ciberataques. Por ello, si sus empleados tienen unos conocimientos básicos sobre ciberseguridad, quizá sean capaces de detectar la próxima amenaza.
En algunos casos, es posible que los empleados sepan lo que tienen que hacer, pero no cómo hacerlo adecuadamente. Infórmeles sobre la necesidad de usar contraseñas. En lugar de una contraseña sencilla, deberían utilizar una combinación de letras, números y caracteres especiales. También puede hablarles de la autenticación de dos factores, que les aportará una capa adicional de protección, no solo en los equipos informáticos del trabajo, sino también en sus dispositivos personales, en particular si los usan para trabajar desde casa.
Una parte importante de esta formación debería centrarse en los ataques de ingeniería social, que constituyen alrededor del 98% de todas las intrusiones de ciberseguridad. Estos tipos de ataques están diseñados para aprovechar las emociones o la curiosidad de las personas con el objetivo de abrir una puerta a nuestros sistemas. Los empleados deben conocer estas amenazas comunes para no ser víctimas fáciles de ellas. Recuerde a sus empleados que deben permanecer alerta para no caer en ataques de ingeniería social, como la presentación de oportunidades tentadoras (o baiting) y terminen cargando el primer dispositivo USB que encuentren —aunque esté dentro de la oficina— en lugar de denunciar el asunto a RR. HH.
Otra amenaza común son las estafas por suplantación de identidad, en las que los atacantes envían correos electrónicos fraudulentos que parecen proceder de una autoridad, como Hacienda o incluso de una persona de RR. HH. o del propio CEO. Muchos trabajadores de oficinas reciben cientos de correos electrónicos cada día, por lo que no es difícil que, con las prisas, alguien haga clic en un enlace malicioso o abra un adjunto de un correo. Este inocente clic podría crear una ruta para que los atacantes roben datos corporativos.
Una vez completada la formación y cuando los empleados sean conscientes de las señales, pídales que firmen un documento comprometiéndose a denunciar cualquier ciberamenaza que observen ante quien corresponda.
Directrices para el uso de dispositivos personales
Si algo hemos aprendido durante este 2020 y la epidemia de COVID-19 es que el paso de trabajar en la oficina a teletrabajar desde casa es más sencillo de lo que pensábamos. Actualmente, las plantillas laborales de muchas empresas trabajan desde casa o en lugares públicos y, en muchos casos, usan sus dispositivos personales, lo que genera un sinfín de posibles errores humanos. A las amenazas explicadas durante las sesiones de formación se suma el riesgo de robo o pérdida de teléfonos o tabletas personales, que, en caso de desembocar en una vulneración de datos, sería responsabilidad de la persona.
Lo primero que debería hacer su empresa es establecer una norma sobre el uso de dispositivos personales para fines laborales. Si este uso no está permitido, déjelo bien claro y pida a sus empleados que firmen un documento, que archivará para hacerlo valer en caso de que el acuerdo se incumpla. Si se permite el uso de dispositivos móviles y personales, deberán estar equipados con las medidas de seguridad necesarias, como protección mediante contraseña y cifrado de datos, y estar supervisados por el departamento de TI.
Además de la posibilidad de perderlos, los dispositivos móviles pueden ser hackeados fácilmente si se conectan a redes Wi-Fi fraudulentas creadas por hackers en lugares públicos para hacerlas pasar por redes legítimas. Una vez que el empleado se conecta a la red fraudulenta, el atacante puede acceder fácilmente a datos sensibles. Si es necesario que los empleados trabajen en zonas públicas, establezca normas estrictas y claras, como la obligación de trabajar fuera de línea o usar una red privada virtual.
No es ningún secreto que los hackers son muy capaces y siempre buscan nuevas formas de adentrarse en nuestros sistemas. Al reducir los errores humanos mediante la formación, su organización puede limitar los posibles puntos de vulnerabilidad y seguir prosperando.
Nota: esta publicación en el blog fue redactada por un colaborador invitado con el objetivo de ofrecer una mayor variedad de contenidos a nuestros lectores. Las opiniones expresadas por el autor del artículo son exclusivamente suyas y no reflejan necesariamente las de GlobalSign.