Más de la mitad de las empresas, concretamente el 52%, consideran que los principales riesgos a los que se enfrentan en lo que se refiere a su seguridad informática provienen de su propia plantilla.
Es lo expresado en un informe elaborado por la empresa antivirus Kaspersky junto con B2B International tras analizar la situación en 8000 empresas por todo el mundo y los resultados de diversas encuestas de 2017.
El documento recuerda que en la “epidemia” de WannaCry el factor humano jugó un papel principal a la hora de convertir en vulnerables a las compañías.
Se recuerda que en el caso de WannaCry el factor humano jugó un papel principal
Dos meses después de haber proporcionado los parches para tapar las vulnerabilidades correspondientes con las actualizaciones de Microsoft, muchas empresas de todo el mundo no habían puesto al día aún sus sistemas.
Otro caso podría ser el de ciertos empleados con permisos de administrador que llegaron a deshabilitar los sistemas de seguridad en sus ordenadores dejando que la infección se extendiera por toda la red de la empresa.
Por si no se intuye llegados a este punto, el informe apunta a que en este tipo de actuaciones que propiciaban estos incidentes los departamentos informáticos de las empresas no eran precisamente el eslabón más débil de la cadena.
Dentro de aquellas empresas que creen que su mayor debilidad frente a los ciberataques procede de dentro casi la mitad, el 47%, temen que los empleados puedan compartir en un momento dado datos de la compañía a través de dispositivos móviles que por su naturaleza no deberían difundirse.
Los siguientes miedos dentro de este ámbito serían que alguien de la plantilla pudiera extraviar un dispositivo móvil poniendo en peligro de esta forma a la empresa y que puedan usar de forma inadecuada los recursos informáticos.
Hay que decir que dentro de esta última categoría el mayor temor a un uso inapropiado de estos recursos informáticos se produce más en empresas con 49 empleados o menos que en aquellas que poseen una plantilla de más de un millar de trabajadores.
La hipótesis que se formula en el informe como causa probable para este tipo de miedo es que generalmente una empresa muy pequeña tiende a ser más flexible en lo relativo al uso de las tecnologías informáticas que se manejan en ella.
La plantilla, ya sea por desconocimiento o por falta de cuidado, aparece como segunda causa probable cuando se produce una brecha de seguridad, justo por detrás del malware.
De hecho, en el 46% de los incidentes de ciberseguridad del año pasado se detectó que la plantilla de alguna manera había propiciado que se produjera ese ataque.
La plantilla aparece como segunda causa cuando se produce una brecha de seguridad
En lo que llevamos de año, hasta un 49% de empresas en todo el mundo han denunciado haber sido víctimas de virus o malware, lo que supone ya un incremento del 11% comparado con los resultados de 2016.
Procedimientos inadecuados, mal uso de los equipos y del software que se maneja en la empresa, un empleado que inspirado por el temor o el respeto a sus superiores, por ego, o por cualquier otra debilidad humana en definitiva abre un adjunto o pincha en un enlace de un correo electrónico engañoso.
Sabemos que todas estas conductas pueden facilitar considerablemente un ataque. Ahora bien, la actitud que muestra el miembro de la plantilla cuando se encuentra ante semejante tesitura también es vital.
En el 40% de las empresas analizadas en el informe, los empleados llegaron a ocultar el hecho de haber sufrido un incidente de seguridad informática. Esto puede generar que lo que es eso, un incidente, degenere en una brecha de datos en toda regla que afecte a la infraestructura de la firma.
Ante esta actitud que puede ser devastadora uno no se puede quedar en el comportamiento de la plantilla sin más, porque en algunos casos las empresas establecen normas estrictas pero poco claras en la materia y sobrecargan de responsabilidad a los empleados en este sentido.
Si a alguien se le dice que no haga esto o lo otro porque será el principal responsable si algo sale mal pero a la vez esas advertencias no están claras, lo único que se logra es que se fomenta el miedo y que por tanto alguien en esa situación solo piense en evitar el castigo a toda costa.
Que la empresa tenga una política en esta materia tampoco resuelve nada en sí mismo. Un 44% de las corporaciones llegaron a afirmar que los empleados no seguían correctamente sus políticas de seguridad.
Si la empresa tiene advertencias estrictas pero poco claras, lo único que se logra es fomentar el miedo del empleado a que se descubra el incidente
Aquí también se percibe que en muchos casos las políticas de este tipo no están redactadas en un lenguaje claro.
Cuando se da a los empleados documentos con un montón de páginas se corre el riesgo de que todo el mundo pueda indicar que lo ha recibido pero que realmente pocos se hayan puesto a leerlo.
Para evitar esto, aparte de la formación adecuada en la empresa, se recomienda comunicar los riesgos, los peligros y las buenas prácticas en unas instrucciones comprensibles y redactadas en un lenguaje lo suficientemente claro.
