• Los riesgos de seguridad pueden ser una amenaza para su empresa mayor de lo que usted cree…

  • Seguridad

Los riesgos de seguridad pueden ser una amenaza para su empresa mayor de lo que usted cree…

04/11/2018Tiempo de Lectura 6 Min

Snapchat. Ebay. El servicio nacional de salud del Reino Unido. ¿Qué tienen en común estas tres entidades… y muchas otras más? Todas han experimentado fallos de seguridad de los datos ocasionados por errores humanos, y todas han tenido que hacer frente a costosos gastos de seguridad a consecuencia de estos sencillos errores cometidos por su personal.

Las estadísticas de la Oficina del Comisionado de Información (Information Commissioner’s Office, ICO) del Reino Unido muestran que un 62% de los fallos de seguridad en la información se debe a errores humanos. Las organizaciones, en general, tienden a preocuparse por los ciberdelincuentes. Pero, ¿no puede ser también una amenaza un empleado descontento? ¿Alguien que quiera sabotear la empresa deliberadamente?

Estos incidentes de seguridad también suceden. Es verdad que no se trata de un riesgo excesivamente grande —si nos guiamos por las estadísticas—, además de que controlar la posibilidad de errores por parte de los empleados no parece ser actualmente uno de los aspectos más difíciles de la seguridad de la información. Sin embargo, esto no es muy exacto. Si algo sabemos de las personas es que son impredecibles. Y si ponemos tecnología en sus manos, nos arriesgamos a estar a un clic del desastre.

La misma historia de siempre

Un informe sobre la seguridad de la información, el Informe de Investigaciones sobre Filtración de Datos (Data Breach Investigations Report, DBIR) que publica Verizon anualmente, revela que los incidentes atribuibles a errores humanos durante el año pasado fueron errores comunes: envío de correos o documentos con información sensible a la persona equivocada, errores de publicación, eliminación o borrado de datos, errores de programación, fallos de funcionamiento, suministro de datos equivocados, simples meteduras de pata, etc. Pero lo realmente preocupante es que en el 76 % de los casos mencionados en el informe de Verizon, quien descubrió el error fue un cliente.

Prácticamente en todo fallo de seguridad aparece el error humano en algún lugar de la cadena. Un incidente categorizado como malware, por ejemplo, puede deberse a que un empleado no haya seguido las normas o que olvidara realizar una actualización. Cuando, en vez de dirigir la atención únicamente a las consecuencias del incidente de seguridad, se busca la causa del error humano que lo ha producido, el resultado es alucinante: casi todos los incidentes de seguridad provienen de un descuido de alguien.

Si usted tiene un empleado seriamente descontento que decide robarle información de la empresa, el incidente de seguridad de datos podría ser su culpa, y el incidente puede ser categorizado como una acción maliciosa interna. Pero, ¿no es también culpa del empleado que no ha cogido el documento sensible de la bandeja de la impresora en primer lugar?

Predecir lo impredecible

Su organización no puede programar una actualización de seguridad de sus empleados como lo hace con un dispositivo electrónico. Como profesional de la informática, usted conoce de sobra la importancia de “concienciar en la formación de seguridad”, y seguramente usted mismo habrá tenido que completar diversas formaciones para cumplir con las normativas. Pero, sinceramente, ¿funciona de verdad la concienciación sobre formación de seguridad?

Aparte de servir para que miles de organizaciones se pongan al día en materia de cumplimiento, la formación no es suficiente. Un estudio reveló que puede lograrse una mejora casi absoluta en la respuesta humana a la simulación de una situación de phishing después de cinco ejercicios prácticos. Pero aun así, dada la complejidad y la impredecibilidad del ser humano, la formación no permite controlar cuando un empleado está cansado, si tiene prisa o si tiene hambre y se le está haciendo tarde para comer.

Es probable que lo mejor sea combinar la acción humana con medidas técnicas: esto es, el uso de software más inteligente y mucha, mucha formación. En materia de seguridad se debe de tener en cuenta la posibilidad de que la gente cometa errores y considerar esto a la hora de adquirir nuevas aplicaciones, configurar nuevos programas o diseñar nuestras propias aplicaciones de software. Cuanto más difícil sea que la gente envíe o publique datos confidenciales con la tecnología, se reducirá significativamente la posibilidad de ataques.

1. No exponga información confidencial

Uno de los principios básicos de seguridad de la información consiste en que cada persona de su organización obtenga la menor cantidad de accesos que necesite para hacer su trabajo. Las aplicaciones que utilice pueden impedir que los usuarios tengan acceso a la información confidencial, pero también es importante conocer las demás áreas de posible exposición. Por ejemplo, las copias impresas en papel. ¿Cuántas veces las personas dejan en la bandeja hojas con información confidencial durante un tiempo? El uso de tecnología de impresión segura que requiere que los empleados que trabajan con la impresora dispongan de identificación mediante tarjeta física o PIN es una forma inteligente de proteger la información confidencial de errores internos.

2. Siga una administración basada en políticas

Implantar una administración basada en políticas siempre que sea posible puede proteger contra la tendencia de cometer errores humanos y otros riesgos. Hacer que los empleados tengan que confirmar el envío de archivos adjuntos a personas ajenas a la empresa, o desactivar la generación automática de direcciones de correo, reduce las posibilidades de enviar correos equivocados. Utilizar los informes generales publicados en el sector junto con los incidentes de seguridad producidos en su propia empresa, puede ser una poderosa herramienta para saber dónde necesita invertir software inteligente o actualizar su política de gestión de información.

3. Protéjase del factor humano mediante su propio personal

Su departamento de marketing trabaja normalmente con fechas ajustadas, pero eso no significa que el becario deba de tener total control sobre el sistema de gestión de contenidos (CMS). Lo mismo sucede con sus desarrolladores: posiblemente usted cuente con pocos analistas de calidad y desarrolladores expertos, pero ¿debería alguien tener pleno control de ejecución sobre su código? Hoy día, los profesionales de informática necesitan ganar el apoyo de los ejecutivos y garantizar la colaboración empresarial con recursos humanos para establecer flujos de trabajo eficientes y formas de procesamiento que reduzcan los riesgos.

Facilite hacer bien las cosas

Los riesgos de seguridad en la información generados por el factor humano no están disminuyendo en las empresas, en particular porque los lobos y los hackers informáticos están constantemente investigando las organizaciones y a la gente para encontrar áreas vulnerables. Como profesional de la informática, su trabajo es lograr que los errores sean cada vez más difíciles de producirse. Con la combinación apropiada de una buena formación que incluya procesos de simulación, el uso de mejores aplicaciones e impresoras y una buena política de gestión de datos, usted puede lograr que sea más fácil para su personal hacer las cosas bien y de manera segura.

Tektonika Staff 09/27/2018 Tiempo de Lectura 4 Min

¿Envías información a tus impresoras de forma segura?

Defender los datos de los hackers, de amenazas internas y de ataques maliciosos de terceros nunca ha sido sencillo. El Internet de las Cosas (IoT, por...

Tektonika Staff 08/24/2018 Tiempo de Lectura 7 Min

La ciberseguridad aprovecha el aprendizaje de las máquinas para su…

Los investigadores están realizando grandes avances para mejorar la inteligencia artificial, con el objetivo de ofrecer la supervisión proactiva y...

Tektonika Staff 08/02/2018 Tiempo de Lectura 5 Min

¿Dónde buscan una brecha los ciberdelincuentes?

Los dispositivos conectados a Internet que están en la periferia de una red son uno de los blancos favoritos de los hackers. Michael Keller, 13 de marzo...

Dejar un comentario

Tu correo electrónico no se hará público. Los campos obligatorios están marcados con un asterisco. Required fields are marked *