El comportamiento de los trabajadores, creciente fuente de riesgos para la ciberseguridad de sus empresas
04/11/2014
Los datos corporativos críticos están en riesgo en España, debido a que las organizaciones españolas centran sus políticas y recursos de seguridad en la defensa frente a las amenazas externas, como los hackers y los cibercriminales, y no lo suficiente en las propias amenazas internas.

Fuente:  http://www.rrhhpress.com 

Así se pone de relieve en el último estudio de Seguridad de Cisco, líder mundial en TI, basado en encuestas a más de 1.000 empleados de organizaciones españolas, del que se desprenden dos conclusiones fundamentales: la primera de ellas es que el comportamiento de los trabajadores constituye un débil eslabón en la cadena de ciberseguridad, convirtiéndose en una creciente fuente de riesgos que se debe más a la falta de conciencia y al desconocimiento que a la malevolencia. En este sentido, los empleados esperan que los mecanismos de seguridad implementados por la empresa se ocupen de todo, y tampoco son conscientes del verdadero peligro de las amenazas.

La segunda conclusión extraída del estudio de Cisco es que un creciente número de empleados creen que las políticas de seguridad están frenando la innovación y la colaboración, complicando el correcto desempeño de sus tareas. Como consecuencia de ello, algunos trabajadores deciden saltarse dichas políticas de seguridad.

Hacktivismo y comportamiento de los usuarios, principales riesgos

Los trabajadores identifican su propio comportamiento como el segundo mayor riesgo para la seguridad de los datos corporativos (48% de los encuestados), únicamente precedido por la actividad de los hackers (52%).

Según el estudio, todos los empleados consultados utilizan la red corporativa para realizar transacciones personales, como gestiones de sus cuentas bancarias (86%), compras online (69%), reservas de viajes (54%) o redes sociales (43%).

Eutimio Fernández, director de Seguridad en Cisco España, asegura que “el estudio confirma los complejos retos de seguridad TI a los que se enfrentan las organizaciones. Aunque la mayoría de trabajadores reconocen que la amenaza de los cibercriminales es real y requiere una defensa continua, el usuario es el eslabón más débil de la cadena y está incrementando los riegos para las empresas españolas. Un trabajador que confía ciegamente en los mecanismos de seguridad facilita distintas puertas de entrada hacia los datos corporativos confidenciales”.

Falta de conciencia y desconocimiento

Del análisis de Cisco se desprende que la mayor amenaza interna para las organizaciones es consecuencia de la relajación de los empleados, quienes asumen que la empresa protegerá sus actividades online. Así, el 39% de los trabajadores españoles encuestados esperan que los mecanismos de seguridad implementados les protejan frente a cualquier riesgo, mientras menos de la mitad, el 45%, creen que mantener a salvo los datos personales y corporativos es también su responsabilidad. Igualmente, casi cinco de cada seis consultados, el 83%, se sienten tan ajenos al verdadero alcance de las amenazas que piensan que su comportamiento tiene un impacto de mínimo a moderado en la seguridad.

 

Hacktivismo y comportamiento de los usuarios, principales riesgos

Los trabajadores identifican su propio comportamiento como el segundo mayor riesgo para la seguridad de los datos corporativos (48% de los encuestados), únicamente precedido por la actividad de los hackers (52%).

Según el estudio, todos los empleados consultados utilizan la red corporativa para realizar transacciones personales, como gestiones de sus cuentas bancarias (86%), compras online (69%), reservas de viajes (54%) o redes sociales (43%).

Eutimio Fernández, director de Seguridad en Cisco España, asegura que “el estudio confirma los complejos retos de seguridad TI a los que se enfrentan las organizaciones. Aunque la mayoría de trabajadores reconocen que la amenaza de los cibercriminales es real y requiere una defensa continua, el usuario es el eslabón más débil de la cadena y está incrementando los riegos para las empresas españolas. Un trabajador que confía ciegamente en los mecanismos de seguridad facilita distintas puertas de entrada hacia los datos corporativos confidenciales”.

Falta de conciencia y desconocimiento

Del análisis de Cisco se desprende que la mayor amenaza interna para las organizaciones es consecuencia de la relajación de los empleados, quienes asumen que la empresa protegerá sus actividades online. Así, el 39% de los trabajadores españoles encuestados esperan que los mecanismos de seguridad implementados les protejan frente a cualquier riesgo, mientras menos de la mitad, el 45%, creen que mantener a salvo los datos personales y corporativos es también su responsabilidad. Igualmente, casi cinco de cada seis consultados, el 83%, se sienten tan ajenos al verdadero alcance de las amenazas que piensan que su comportamiento tiene un impacto de mínimo a moderado en la seguridad.

Las políticas de seguridad tampoco tienen el rigor necesario. Mientras el 58% de los empleados creen que su compañía cuenta con una política de seguridad que regula las conexiones, el 24% lo niega y casi dos de cada diez, el 18%, no saben si existe.

La mitad de los consultados, el 49%, afirman que dicha política no les afecta en su trabajo, y un 41% solo se dan cuenta de que existe cuando los mecanismos de seguridad evitan que realicen alguna acción. Como resultado, cuatro de cada diez encuestados admiten un escaso o moderado respaldo a las políticas de seguridad implementadas, aunque el 23% dicen ser más rigurosos con la seguridad en el trabajo que en casa (17%).

Además, y sorprendentemente para Cisco, el 77% de los trabajadores consultados no son conscientes de las amenazas de seguridad más conocidas, como Heartbleed. Así, el 40% no han cambiado su actitud tras haber sido afectados por una brecha de seguridad, y el 43% admiten que aún no utilizan distintas contraseñas para cada sitio o aplicación.

Freno a la innovación y la colaboración

Cada vez más, los trabajadores españoles consideran la seguridad como una barrera en lugar de un facilitador de negocio. El informe desvela que el 12% creen que la seguridad TI está frenando la innovación y complicando la colaboración, mientras el 15% consideran que dificulta su trabajo. Uno de cada seis (el 16%) creen que perder una oportunidad de negocio tiene un coste mayor para la empresa de lo que podría suponer una brecha de seguridad.

De esta forma, los resultados del informe indican que las estrategias de seguridad TI implementadas en la actualidad no se corresponden con la forma en que los trabajadores quieren desempeñar sus tareas. “Los empleados creen que las actuales políticas de seguridad deben cambiar para que las empresas puedan impulsar la innovación y facilitar la colaboración, reforzando a su vez la seguridad de la red corporativa, los dispositivos y el Cloud frente a ataques externos”, añade Eutimio Fernández.

Es así como la balanza entre facilidad de operación y protección requiere una nueva aproximación hacia la seguridad TI, “capaz de adaptarse al comportamiento de los usuarios y basada en la mayor visibilidad, en el foco en las amenazas y en la simplicidad a la hora de gestionar distintas soluciones de forma unificada”.

Políticas centradas en los usuarios

Como parte del estudio, Cisco ha identificado cuatro perfiles diferentes de comportamiento frente a la seguridad TI en España, que podrían servir como base para establecer estrategias centradas en el comportamiento de los trabajadores.

Cada uno de estos perfiles representa un nivel de riesgo distinto para la seguridad de los datos corporativos, y requiere una aproximación específica. Los cuatro perfiles son:

Trabajadores conscientes de las amenazas. Aquellos empleados que son conscientes de los riegos de seguridad y que intentan mantenerse seguros online rigurosamente.

Trabajadores bienintencionados. Los trabajadores que tratan de cumplir las políticas de seguridad, pero no lo hacen con constancia.

Empleados con falta de conciencia. Los que esperan que la empresa se ocupe completamente del entramado de seguridad y no asumen ninguna responsabilidad personal para proteger los datos corporativos.

Trabajadores apáticos y escépticos. Aquellos que creen que las amenazas a la ciberseguridad están sobrestimadas y que los mecanismos implementados inhiben su rendimiento, saltándose las políticas como consecuencia.

La creación de políticas centradas en los usuarios implica que las organizaciones adopten una estrategia de seguridad automatizada y gestionada centralmente, en lugar de apoyarse en los tradicionales procedimientos puntuales.

Esta tendencia, impulsada por la movilidad empresarial y la mayor demanda de procesos colaborativos y de acceso a la información, permitiría a los departamentos de TI establecer protocolos específicos en función de los usuarios y proteger todos los dispositivos que utilizan en su trabajo. Dichas políticas de seguridad más ‘receptivas’ deberían, a su vez, ayudar a los negocios a ser más ágiles, además de seguir proporcionando la mejor defensa posible frente a los ataques externos.

Fernández concluye que, “aunque la mayor información y educación de los usuarios ayudaría, no es suficiente para superar la cultura de relajación ante las políticas de seguridad que desvela el estudio. Mientras los empleados sigan creyendo que la seguridad TI dificulta su trabajo o no sean conscientes de los riesgos que implica su comportamiento, los responsables de TI deberán establecer políticas de seguridad más centradas en el perfil de los usuarios para tratar de evitar la pérdida de datos corporativos y sus costosas consecuencias”.