La capacitación en #ciberseguridad para los empleados protege a su empresa del ataque de los Insiders

272 0

por Víctor Ruiz, fundador de SILIKN, mentor del Centro de Ciberseguridad 05000 e instructor certificado en ciberseguridad — CSCT™

Todos lo sabemos: la gente comparte demasiado en línea. ¿Cuántas publicaciones en las redes sociales ha visto sobre lo que la gente desayuna o de lo que hace en el gimnasio? Si bien el hecho de compartir información es a menudo inofensivo, también puede tener graves implicaciones para la ciberseguridad, especialmente en un momento en que los ciberdelincuentes están escaneando activamente esos detalles en busca de puntos de vulnerables para infiltrarse en una empresa u organización.

Los empleados con acceso a información confidencial de la empresa deben recordar que compartir en exceso y no observar los protocolos adecuados de protección de datos puede provocar una gran vulneración.

La necesidad de compartir información personal en línea es entendible, pues nos llaman la atención los detalles sobre amigos, familiares e incluso desconocidos y, adicionalmente, recibimos un estímulo a través de los ‘me gusta’ o los comentarios. Si bien es posible compartir de forma segura, la gran cantidad de información que las personas publican en Internet hace que sea mucho más fácil para los ciberdelincuentes aprovechar esos datos para manipular a las víctimas y obtener acceso a sistemas seguros a través de técnicas de ingeniería social.

Por ejemplo, los empleados a menudo publican imágenes de sus credenciales de trabajo, que contienen números de serie, códigos de barras, códigos QR y otros tipos de datos que los cibercriminales pueden robar. Publican fotografías de pases de abordar durante los viajes de negocios, que revelan números de pasaporte e información de contacto. Y hacen anuncios sobre viajes y eventos de trabajo, que les dicen a los ciberdelincuentes dónde estarán y por cuánto tiempo.

El problema de ciberseguridad más obstinado que enfrentan las empresas es la efectividad constante de la ingeniería social, un tipo general de ataque cibernético que funciona convenciendo a los empleados de que se están comunicando con un colega, proveedor, sitio web confiable o alguna otra entidad legítima y manipulándolos para divulgar información privada.

La gran mayoría de los ciberataques exitosos utilizan alguna forma de ingeniería social, razón por la cual la capacitación en ciberseguridad de los empleados se ha convertido en una de las formas más efectivas de mantener seguras a las empresas.

De igual manera, la ingeniería social puede tomar la forma de una amenaza interna o externa, por lo que los empleados deben ser cautelosos sobre cualquier interacción que lleve a una solicitud de información confidencial; siempre deben solicitar credenciales, confirmar que la solicitud es legítima y recordar que el inconveniente de una demora es mucho menos dañino que las consecuencias de un ciberataque.

Un punto importante es que si los empleados alguna vez creen que han compartido información accidentalmente con un cibercriminal que podría representar una amenaza para la seguridad, no deberían dudar en informarlo. Hacerlo puede ser difícil o incluso vergonzoso, pero esperar que la amenaza desaparezca por sí sola es mucho peor. Porque no solo no desaparecerá, sino que se hará más grande.

Para obtener más datos acerca de este tema, recientemente, la unidad de investigación de SILIKN llevó a cabo una encuesta en donde se conversó con 230 gerentes y directivos de sistemas y tecnología, de empresas mexicanas o internacionales con operaciones en el país (grandes, medianas y pequeñas), ubicadas en la Ciudad de México, Nuevo León, Jalisco, Estado de México, Querétaro, Puebla, Yucatán y Guanajuato.

Entre los datos obtenidos se encuentran:

El 94.8% de los empleados comparte información personal y profesional en las redes sociales, mientras que 1 de cada 3 publica fotos y actualizaciones de viajes de negocios. Esto les da a los ciberdelincuentes un enorme tesoro de información para explotar.
El 92.1% de las organizaciones sufrió una vulneración de datos internos en los últimos 12 meses (septiembre 2020 a septiembre 2021).
El error humano es la causa más común, presente en el 90.7% de los incidentes.
El correo electrónico sigue siendo el vector de mayor riesgo, presente en un 85.9% de los incidentes.
El 63.7% de los gerentes y directores de sistemas y tecnología cree que el trabajo remoto aumenta los incidentes internos.
El 78.4% de los empleados cree que una cultura de ciberseguridad les ayuda a estar más protegidos como organización. Pero solo el 33.9% de los empleados considera que su empresa tiene una cultura en la que se toma en cuenta la ciberseguridad.
El 83.1% de las empresas han reportado haber experimentado una infracción de phishing.

El éxito de los ataques de ingeniería social demuestra que las empresas aún tienen un largo camino por recorrer para crear una fuerza laboral consciente de la ciberseguridad. El tipo de delito cibernético más común es el phishing, pero le sigue de cerca el compromiso del correo electrónico empresarial (BEC): la infiltración de una cuenta de correo electrónico para robar información privada o engañar a los empleados haciéndose pasar por una figura de autoridad.

Las empresas confían mucho en los empleados cuando se trata de la gestión de información confidencial. Si bien esta es una responsabilidad importante, también es un recordatorio de que todos los empleados pueden mantener a salvo sus organizaciones si saben qué información debe permanecer privada, cómo investigar a las personas con las que se comunican y cómo reconocer una interacción sospechosa.

Los empleados que observen estas pautas y comportamientos–y sigan las políticas y procedimientos establecidos en el plan y estrategia de ciberseguridad–, serán capaces de evitar que los ciberdelincuentes roben información valiosa y se infiltren en sus organizaciones.

Related Post