What is insider threat?
Su personal es el corazón de su empresa. Ya se trate de los que toman las medidas in situ para una nueva construcción, de los auxiliares administrativos que tramitan las solicitudes de los estudiantes o incluso del director de oficina que imprime documentos importantes, todos desempeñan un papel importante. Pero, al mismo tiempo, todos son humanos y susceptibles de cometer errores. Y en el mundo laboral en línea de hoy en día, eso conlleva graves riesgos de seguridad.
La amenaza interna se refiere a las personas que trabajan dentro de la empresa, cuyos errores pueden amenazar la seguridad del negocio. Por desgracia, incluso el más pequeño error de un empleado puede tener grandes repercusiones. Esto es especialmente cierto para las pequeñas y medianas empresas (pymes), donde el impacto de un ataque puede resultar crítico para el negocio. Los ciberdelincuentes ya saben que el punto débil de la defensa digital de una empresa son los empleados que trabajan en ella. Dependen de individuos que carecen de formación o diligencia, por ejemplo cuando se conectan o responden a un correo electrónico, y esperan que los empleados no sean conscientes de los riesgos.
Para descubrir el riesgo que corren las empresas de sufrir amenazas internas, hemos llevado a cabo un estudio con pymes de toda Europa. Hablando con 5.770 responsables de TI de sectores como la construcción, el jurídico, la educación y la sanidad, nuestros resultados arrojan luz sobre las vulnerabilidades y preocupaciones en línea. En la actualidad, casi cuatro de cada diez (37%) de los encuestados creen que el hecho de que los empleados no sigan la formación o las directrices constituye un riesgo importante para la eficacia de la seguridad informática. Pero hay más.
El reto de los errores humanos
La solidez de su defensa digital depende de la formación de sus empleados. Incluso con los sistemas de seguridad tradicionales, los errores humanos pueden hacer que la ciberprotección sea ineficaz. No es de extrañar, por tanto, que un tercio de nuestros encuestados citara la falta de conocimientos o formación de los empleados como algo que ha aumentado la preocupación por la seguridad informática.
Toda una serie de errores comunes pueden conducir a una violación de la seguridad. Puede que su ejecutivo de marketing envíe accidentalmente información confidencial de un cliente a la cuenta equivocada. O puede que un asistente de enseñanza siga por error un enlace malicioso en un correo electrónico, exponiendo los datos de los estudiantes (un ataque conocido como phishing). Incluso podría darse el caso de que alguien haga copias de páginas confidenciales en el escáner de la oficina, pero olvide retirar después el documento original de la bandeja.
Por supuesto, hay diferentes factores en juego. Puede que los empleados simplemente no conozcan los riesgos, lo que debilita considerablemente cualquier defensa contra ellos. Muchos empleados de la empresa podrían no responder a las solicitudes de formación, porque están demasiado ocupados o porque piensan que ya están formados. Incluso puede que algunos cumplan las prácticas de seguridad de la empresa, pero sean propensos a cometer errores ocasionales. Echemos un vistazo a lo que revelaron nuestras conclusiones sobre las pymes.
Los resultados de la investigación
Veamos qué opinan las pymes europeas consultadas.
Todas las empresas, grandes o pequeñas, utilizan el correo electrónico para comunicarse de alguna manera. Las carpetas de correo no deseado pueden ser bastante buenas a la hora de filtrar automáticamente el spam de remitentes desconocidos. Pero a medida que la ciberdelincuencia se vuelve más sofisticada, aumentan los ataques de phishing (en los que se engaña a las personas para que revelen, modifiquen o eliminen información confidencial). Los ataques de phishing, que son ahora la forma más común en ciberdelincuencia, dependen de que sus empleados cometan un error de juicio. Al mismo tiempo, los ataques de malware pueden producirse cuando los dispositivos de su red (incluidos sus teléfonos, tabletas e impresoras) no son totalmente seguros. Cada ataque puede conducir a resultados devastadores, y el 20% de las pymes que encuestamos citaron la pérdida de datos como su mayor preocupación de seguridad empresarial. Para evitar que se produzcan errores, los responsables de las empresas deben asegurarse de que sus empleados son plenamente conscientes de lo que deben buscar en cada correo electrónico y de las implicaciones de no comprobarlo correctamente.
A pesar de todas sus ventajas, el trabajo híbrido ha aumentado la preocupación de las pymes por los riesgos tecnológicos de seguridad. Al mismo tiempo, el 29% también está ahora más preocupado porque los empleados utilicen sus propios dispositivos. Mientras que muchos empleados trabajarán entre la oficina y su casa, algunos pueden optar por trabajar en cafeterías o espacios de co-working, donde las redes no son seguras. A pesar de esta preocupación, casi tres quintas partes (59%) de las pymes no han aumentado la formación en seguridad informática desde que pasaron a un modelo híbrido. La combinación de redes potencialmente inseguras y conocimientos de seguridad desactualizados significa que hay terreno abonado para cometer errores.
En las empresas se manejan a diario muchos datos confidenciales. Ya pertenezcan a estudiantes, pacientes, clientes o a la propia empresa, es innegable que deben tratarse con cuidado. Y no sólo pueden quedar expuestos a través de un enlace de correo electrónico malicioso. Las brechas en la seguridad de los datos pueden producirse en cualquier punto final (dispositivos conectados a la red), desde la impresora de la oficina hasta las tabletas de los empleados. Desgraciadamente, sólo un tercio de las pymes dispone de seguridad para las impresoras, por lo que muchas no cubren todas las bases, y no todos los empleados saben siquiera dónde están los riesgos. De hecho, un tercio de las pymes no confía especialmente (14%) o no confía (15%) en que los empleados tengan un conocimiento adecuado de los riesgos de seguridad informática.
Mezclar lo humano con lo digital
Teniendo en cuenta nuestra investigación, las pymes deberían hacer de la mitigación de las amenazas internas una prioridad absoluta. Existen dos enfoques diferentes para hacerlo con eficacia, ambos igualmente importantes.
En primer lugar, comprender y abordar el lado humano de la seguridad dentro de la empresa. Es importante crear una cultura de seguridad en línea que llegue a todos los empleados, no sólo al departamento informático y a los oficinistas. Todos, desde los que reparten mercancías hasta los que atienden el teléfono, deben tener presentes las mejores prácticas de seguridad cuando trabajan. Una forma de poner a prueba las respuestas de los empleados de forma segura y preventiva puede ser simulando "evaluaciones de phishing", en las que la empresa envía correos electrónicos maliciosos falsos. Otra forma es hacer que la formación en seguridad en línea sea obligatoria para todos los empleados.
En segundo lugar, utilice la tecnología adecuada. Mientras que las amenazas internas se reducen a las acciones de los seres humanos, la tecnología puede ayudar a prevenir errores, y un enfoque de seguridad de múltiples capas ayudará a cubrir todas las bases. Esto incluiría esencialmente una serie de controles de seguridad, evaluaciones periódicas de riesgos y formación, pruebas de penetración más regulares (en las que se comprueba la accesibilidad de la red por parte de terceros), así como una supervisión permanente. Es fundamental encontrar el equilibrio entre la tecnología y recordar a los empleados el papel que desempeñan.
Los errores ocurren, los ciberataques no tienen por qué ocurrir
Como todo el mundo, los empleados cometen errores. Ya sea un director de empresa o un auxiliar administrativo, los accidentes ocurren. Pero eso no significa que los ciberataques tengan que ocurrir. Proporcionar una formación adecuada y aumentar la concienciación, diligencia y responsabilidad de los empleados ayudará a minimizar los errores que conducen a daños reales.
Si se produce un error, es importante contar con la protección cibernética adecuada. En Sharp, ayudamos a las pymes a construir una sólida defensa digital, asegurándonos de que cuentan con el nivel adecuado de ciberprotección en sus negocios hoy en día. Nuestra amplia gama de servicios y soluciones de seguridad a medida aportan una capa adicional de defensa a los sistemas de seguridad de su empresa.
Descubra más formas de protegerse
Conozca más contenidos sobre los riesgos para la ciberseguridad de las pymes hoy mismo en el hub Seguridad en el mundo real.