Un 12% de los ciberincidentes de las empresas son provocados por los empleados

El estado de la ciberseguridad de una organización es complicado y hay muchos factores que entran en la ecuación. Por ello, Kaspersky ha realizado un estudio con el fin de conocer la opinión de los profesionales de seguridad informática que trabajan para pequeñas y medianas empresas (pymes) de todo el mundo sobre el impacto que tienen las personas en la ciberseguridad de las organizaciones.

El objetivo de la investigación era recopilar información sobre los diferentes grupos de personas que influyen en la ciberseguridad, teniendo en cuenta tanto al personal interno, como a los actores externos.

El estudio de Kaspersky reveló que, además de los errores genuinos, las violaciones de las políticas de seguridad de la información por parte de los trabajadores resultan uno de los mayores problemas para las empresas.

Los encuestados afirmaron que, en los últimos dos años, tanto los empleados ajenos a TI como los de TI, realizaron acciones intencionadas para infringir las normas de ciberseguridad. Afirmaron que este tipo de infracciones de las políticas por parte de los responsables de seguridad informática causaron el 5% de los incidentes cibernéticos en los últimos dos años. Otros profesionales de TI y sus compañeros no informáticos provocaron el 8% y el 2% de los ciberincidentes, respectivamente, al infringir los protocolos de seguridad.

Empleados que desafían las reglas

En cuanto al comportamiento individual de los empleados, el problema más común es que éstos hacen deliberadamente lo que está prohibido y, a la inversa, no cumplen lo que se les exige. Así, los encuestados afirman que una cuarta parte (8%) de los ciberincidentes de los dos últimos años se produjeron por el uso de contraseñas débiles o por no cambiarlas a tiempo.

La otra causa de casi una cuarta parte (13%) de las violaciones de la ciberseguridad fue el resultado de que el personal visitara sitios web no seguros. Otro 16% afirma haber sufrido incidentes cibernéticos porque los empleados no actualizaron el software o las aplicaciones del sistema cuando era necesario.

El uso de servicios o dispositivos no solicitados es otra de las principales causas de infracciones de la política de seguridad de la información. Casi una cuarta parte (18%) de las empresas sufrieron ciberincidentes porque sus empleados utilizaron sistemas no autorizados para compartir datos.

Por otra parte, el 18% de los empleados accedieron a datos a través de dispositivos no autorizados, mientras que el 16% envió datos a direcciones personales de correo electrónico. Otra acción denunciada fue el despliegue de TI en la sombra en dispositivos de trabajo: el 8% de los encuestados indica que esto provocó sus incidentes cibernéticos.

Resulta alarmante que los encuestados admitan que, además del comportamiento irresponsable ya mencionado, el 11% de las acciones maliciosas fueron cometidas por empleados para su propio beneficio. Otra conclusión que ha resultado de interés es que estas infracciones por parte de los empleados son un problema relativamente importante en los servicios financieros, como ha señalado el 34% de los encuestados de este sector.

“Aparte de las amenazas externas a la ciberseguridad, hay muchos factores internos que pueden provocar incidentes corporativos. Como demuestran las estadísticas, los empleados de cualquier departamento, ya sean especialistas no informáticos o profesionales de la seguridad informática, pueden influir negativamente en la ciberseguridad. Por ello, es importante tener en cuenta los métodos de prevención de infracciones de la política de seguridad de la información a la hora de garantizar la seguridad, es decir, aplicar un enfoque integrado de la ciberseguridad”, comenta Alexey Vovk, jefe de seguridad de la información de Kaspersky.

“Según nuestra investigación, además de que el 26% de los incidentes cibernéticos los causan la violación de las políticas de seguridad de la información, y el 38% de esas violaciones se producen debido a errores humanos. Como las cifras son alarmantes, es necesario crear una cultura de ciberseguridad en una organización desde el principio, desarrollando y aplicando políticas de seguridad, así como formando a los empleados en materia de ciberseguridad. De este modo, el personal abordará las normas con mayor responsabilidad y comprenderá claramente las posibles consecuencias de sus infracciones”, concluye.