La Ciberseguridad empieza por los empleados

Creado por 

Label Key

 el

12 de septiembre de 2016

El verano ya es cosa del pasado, pero el cibercrimen no descansa: pese a la creencia común, no es tanto la tecnología como un mal uso de la misma el responsable de que la información sensible de nuestra empresa se vulnere.

España es el país del mundo que más ciberataques recibe, sólo por detrás de USA y Reino Unido. La vuelta de las vacaciones es un momento especialmente delicado para nuestros empleados que, aún relajados, cometen errores u omiten los protocolos que ponen en riesgo nuestro trabajo.

 

 

Ciberseguridad. Hackers.

 

 

Detrás de cada dispositivo hay un ser humano

Y detrás de cada dispositivo, es muy probable que exista un hacker: ladrones de identidad, suplantadores de figuras de autoridad, expertos en malware, ejecutores de transferencias fraudulentas, etc. En la mayor parte de casos en los que las empresas se consideran “seguras”, no es la tecnología lo que falla: somos nosotros.

Por eso, no es suficiente invertir en sistemas blindados de protección… Concienciar a la plantilla sobre los riesgos de un mal empleo de los mismos es vital para mantener el cibercrimen a raya.

Esta conciencia colectiva respecto al problema debería estar grabada a fuego en cada uno de los activos de nuestra empresa. Los ciberataques actuales son indirectos y se centran en el entorno, analizando las posibles fisuras en el sistema y reptando a través de ellas. De la totalidad de intromisiones, sólo el 20% requiere conocimientos profundos de hacking: el resto opera de forma remota.

 

 

Ciberseguridad. Dispositivos

 

 

La seguridad es un problema

Mayor para las organizaciones y los gobiernos donde sólo en 2014, la ciberdelincuencia costó a las empresas españolas la friolera de 700.000 millones de euros.

Hoy, la economía mundial pierde 450 mil millones de euros al año en paliar los daños de la llamada “mafia del s. XXI”, grupos altamente organizados cuyas ganancias son equiparables a las de Apple, la compañía más lucrativa del mundo.

Todos aquellos que manejan información corporativa sensible son susceptibles de recibirlos. Un estudio reciente revela que más de una cuarta parte de trabajadores admite haber transferido documentos laborales desde y hacia casa, aún a pesar de las políticas prohibitivas de los departamentos de Recursos Humanos.

Y lo que es aún más grave: la mitad de los sujetos del estudio confiesa que sus ordenadores portaban algún virus en el momento de la transmisión. Está claro que la delgada línea que separa trabajo y vida personal cada vez es más difusa, afectando a la seguridad de información corporativa comprometida.

 

 

Ciberseguridad. Información corporativa.

 

 

La responsabilidad de RR HH

El departamento de Recursos Humanos es el responsable de gestionar políticas de seguridad y concienciar, a través de programas de formación, a los empleados de los peligros que acechan si no cumplen dichas políticas.

Los cibercriminales cada vez son más creativos a la hora de desarrollar tácticas adscritas a la llamada “ingeniería social” (práctica de obtener información confidencial a través de la manipulación de usuarios legítimos).

Los ataques a la compañía se hacen a través de sus activos: el modus operandi de estos estafadores es centrarse en información personal de los usuarios para usarla como pasaporte y “colarse” en las organizaciones. Estos ataques son tan sofisticados y brillantes que, en muchas ocasiones, los propios directivos o expertos en la materia se convierten en víctimas, otorgándoles valiosa información corporativa.

 

 

Ciberseguridad. Formación.

 

 

¿Mi empresa es segura?

La mayor parte de las compañías ya tienen una política IT y están lo suficientemente concienciadas como para implementarla. Sin embargo, su alineación con el departamento de Recursos Humanos no está tan claro. Muchos trabajadores, pese a estar concienciados sobre dichas políticas, siguen compartiendo contraseñas.

¿Qué importancia puede tener disponer de una contraseña que cumpla todos los preceptos de seguridad cuando permitimos que Explorer la recuerde?

 

La alianza entre equipo IT y departamento RR.HH

Toda política IT debería asegurarse de que sólo ciertas personas tengan acceso a los niveles adecuados de seguridad. En un sistema complejo, los documentos sólo deben ser visibles y editables exclusivamente por quienes estén autorizados para ello.

Un libre acceso es una sentencia de muerte… Dato escalofriante: uno de cada veinte empleados se ha llevado información comprometida de la compañía en la que trabajaba a la hora de ingresar en otra.

La misión del equipo IT es minimizar estos riesgos. El objetivo de RR.HH, por su parte, es garantizar que existan procedimientos para concienciar a los empleados de los peligros y medidas que deben aplicarse para preservar nuestra ciberseguridad.

 

Pero,… ¿Cómo conseguir que IT y RRHH operen en paralelo?
  1. Revisando/actualizando protocolos y políticas. Establecer políticas de seguridad y ponerlas en conocimiento de todos los empleados.
  2. Desarrollando políticas BOYD. Cada vez son más los empleados que llevan sus propios dispositivos a la oficina, conectándose con ellos a la red de trabajo y conectándolos, después, a la red doméstica.
  3. Entrenando a los empleados. Concienciarlos sobre los riesgos que corren si ignoran los principios de seguridad. Hacerles entender cómo trabajan estos criminales.
  4. Limitando los accesos. Ningún empleado debe tener acceso a todos los sistemas de datos.
  5. Sancionando. Transgredir las políticas de seguridad o no seguir las directrices es sancionable.

 

 

Ciberseguridad. Transformación digital.

 

 

 

Transformación digital

La conversión por parte de las organizaciones tradicionales al modelo digital pasa por una inversión necesaria en ciberseguridad. La banca es uno de los ejemplos más sólidos en cuanto a esta apuesta, desarrollando sistemas exhaustivos capaces de garantizar la confidencialidad a sus usuarios.

Ignorar el hecho de que debemos protegernos de la ciberdelincuencia es sinónimo de catástrofe y de muchos quebraderos de cabeza. Las redes sociales, basadas en la usabilidad y no en la seguridad como factor de diseño, tampoco están exentas de estos ataques: la información que se aloja en la nube pasa a ser de dominio público, por lo que también es preciso minimizar la exposición de información confidencial fácilmente rastreable.

En definitiva, lo ideal a la hora de transformar digitalmente nuestras empresas pasa por implementar un programa exhaustivo de gestión de información sensible combinado con políticas de seguridad, protección, monitorización y educación.

El enfoque debe ser circular y exhaustivo, sin fisuras, para que la ciberdelincuencia quede fuera de nuestro margen de acción. Es el talento dentro de una empresa lo que le da valor y lo que, al mismo tiempo, la hace vulnerable a los ciberataques: nuestra tranquilidad dependerá de la seguridad de la tecnología y del buen uso que hagamos de ella.

 

Ver Soluciones de Seguridad
Contacta con nosotros si deseas ampliar información: