¡NO PUEDES PARAR LOS CLICKS!

employee breaches

¡NO PUEDES PARAR LOS CLICKS!

Pregúntale a la persona promedio en la calle cuál es la mayor amenaza para la seguridad de la empresa, y ellos elaborarán una larga lista de piratas informáticos extranjeros, espionaje corporativo y todo tipo de escenarios tipo James Bond. Haga la misma pregunta a un profesional de seguridad y obtendrá una respuesta mucho más simple: gente. Es decir, empleados. Así es, el “factor humano” supera a todos los demás riesgos de seguridad que enfrentan las empresas. Muchas de las infracciones de seguridad que leemos en los titulares de noticias tienen algún tipo de elemento humano involucrado, ya sea que se trate de caer en una estratagema de ingeniería social simple y, sin saberlo, otorgar acceso a un pirata informático o algo más astuto ideado por un empleado descontento.

De acuerdo con el Centro de Recursos de Identify Theft, en 2016 las empresas y agencias gubernamentales de EE. UU. sufrieron más de 1,000 infracciones, un aumento del 40% con respecto a 2015, ¡alcanzando un récord histórico sin precedentes! En 2016, los incidentes de hackeos llegaron a su punto más alto: casi el 55,5% de todas las infracciones; un aumento del 17,7% con respecto a 2015. Violaciones involucrando exposición al correo electrónico de información al 9,2% seguida de la categoría error/negligencia del empleado al 8,7%. Si bien ciertos tipos de infracciones de datos en general disminuyen como una proporción del total, la pérdida de datos por hackeos y phishing aumenta rápidamente.
Según un informe reciente de Data Breach Digest de Verizon, los ataques de ingeniería social son así de exitosos porque los actores de amenazas saben que los humanos son el eslabón más débil en cualquier estrategia de seguridad de la información. Se aprovechan de los rasgos naturales como la curiosidad, los temores, el orgullo y otros factores de la psique humana de las personas para obtener acceso a datos confidenciales. Esto generalmente implica algo tan simple como hacer clic en un enlace o abrir un archivo adjunto dentro de un correo electrónico que parece provenir de una fuente confiable. El informe de Verizon muestra cuán simple puede ser esto:
• Un empleado recibe un correo electrónico de felicitación supuestamente del director de sistemas de información (CIO) de la compañía por un trabajo bien hecho: “Haga clic aquí para obtener su premio por el logro”. Resultado: Intento de transferencias electrónicas por un total de más de $5 millones.
• Un ingeniero jefe que busca un trabajo en el horario de la empresa recibe un correo electrónico de un reclutador con oportunidades de trabajo prometedoras: “Las vacantes actuales están en el archivo adjunto”. Resultado: los planes robados utilizados por un competidor para ingresar al mercado más rápidamente.
¿Crees que tus empleados son demasiado inteligentes para esto? Piensa otra vez. Los empleados no son tontos, se les ha advertido acerca de los peligros de hacer clic en enlaces y abrir archivos adjuntos durante años. Muchos se ríen en los recesos por los correos electrónicos de bancos en países extranjeros que declaran que han heredado $ 20 millones de un pariente fallecido, o los correos electrónicos falsos de PayPal o Apple que solo quieren “confirmar” su cuenta. Pero los piratas informáticos (hackers) se han vuelto cada vez más astutos para comprender qué motiva a los humanos a tomar una acción y están creando formas inteligentes de aprovechar eso. Estos tipos de objetivos pueden ser generales, como obtener acceso a todos los registros de una compañía de atención médica, o pueden ser específicos, como obtener acceso a los planes para el nuevo producto de una compañía, como se describió anteriormente.

Opinión: El mundo está siendo hackeado. ¿Por qué no hacemos más para detenerlo? https://t.co/JvrhMZW9zc pic.twitter.com/HsmDvB8tEQ
— The New York Times (@nytimes) May 14, 2017

Desafortunadamente, a pesar de que los empleados son conscientes de que existen estos esquemas, no está cambiando su comportamiento o el comportamiento de las empresas en su conjunto para proporcionar una mejor capacitación. Según un informe reciente de Osterman Research, “los empleados necesitan estar constantemente sensibilizados y capacitados a través de programas de concientización de seguridad para estar más atentos a sus acciones”. El informe cita estadísticas alarmantes de una encuesta reciente de participantes involucrados en la gestión de capacidades de seguridad para su mediana o gran organización. En esa encuesta, solo el 31% de los encuestados consideraron “medir la disponibilidad de seguridad de nuestros empleados” un método utilizado de forma significativa o extensa para medir la efectividad de su inversión en seguridad de la información. Esto se compara con el 49% que otorga una alta prioridad a la medición del cumplimiento de las obligaciones reglamentarias.

El estudio también mostró una brecha significativa entre la importancia de prevenir las violaciones de datos entre los empleados de alto nivel y los mandos intermedios y los trabajadores “promedio”. Mientras que el 77% de los encuestados consideró que su organización estaba muy bien o razonablemente preparada para lidiar con las consecuencias de una violación de datos significativa, la prioridad dada a la prevención de violaciones de datos varió significativamente según el rol dentro de una organización. Por ejemplo, el 71% de la administración senior de TI le dio una alta prioridad a la prevención de una violación, mientras que solo el 21% de los empleados “promedio” lo hicieron. La gerencia intermedia de la línea de negocios (43%) y la línea de gestión comercial de nivel C (55%) también fueron alarmantemente bajas en términos de dar una alta prioridad a la prevención de violaciones de datos.

El resultado final: la seguridad de la empresa puede ser una alta prioridad para la gerencia de alto nivel, pero esa urgencia no está goteando hacia los empleados que están poniendo en riesgo los datos confidenciales de la empresa, cualquiera que sea su forma. Cuando la seguridad es una simple casilla de verificación, la culpa recae en la empresa cuando se cometen errores humanos. Eliminarlos de la ecuación tanto como sea posible mediante el uso de tecnología que les impide cometer simples errores “humanos” es fundamental para la seguridad de la empresa en el futuro.

Si deseas saber cómo proteger tu información confidencial del factor humano, el contenido que se detalla a continuación puede ser de su interés:

Descargue nuestro REPORTE | ¿Cuánto confías en el Email?

Por Greg Aligiannis, Director Senior de Seguridad, Echoworx