Nadie es perfecto, y eso incluye a los profesionales de TI. Si bien los ataques son cada vez más numerosos y sofisticados, también es cierto que muchos podrían evitarse reduciendo el error humano y consiguiendo una mayor atención y concienciación de los empleados.

Mitigar el error humano es uno de los grandes objetivos que persiguen las organizaciones en su búsqueda por evitar los ciberataques y minimizar el impacto que tienen en sus negocios. Con este propósito, los ataques de phishing, que suelen centrarse más en los empleados a los que ponen sus ‘cebos’ para caer en la trampa, están en el punto de mira de las empresas que buscan cómo evitarlos.

De hecho, según un informe de Ivanti, el 47% de los profesionales de TI reconocen que han caído en un ataque de phishing. Pero estas amenazas también se dirigen a los departamentos de TI ya que los profesionales que trabajan en ellos tienen acceso y privilegios de gran valor.

Teniendo esto en cuenta, los expertos apuntan la importancia de concienciar a los empleados sobre la necesidad de estar alerta frente a posibles amenazas y no solo en el entorno laboral. Prestar atención a la ciberseguridad solo en el trabajo lleva a que en ocasiones haya despistes y se incurra en prácticas poco recomendables que ponen en riesgo la seguridad en la empresa.

Chris Novak, director del Centro de Asesoramiento de Investigación de Amenazas de Verizon, sugiere formas de cambiar esto. Por ejemplo, que las empresas ayuden a los empleados a relacionar la idea de proteger los datos corporativos con la protección de los datos individuales, como los números de seguridad social o la información bancaria.

Conseguir ese nivel de conciencia en ciberseguridad en sus vidas personales contribuirá a mejorar sus prácticas de protección a nivel profesional.

Una amenaza en auge

Los errores en ciberseguridad pueden tener un coste muy alto. De acuerdo con los datos de IBM, este año, el coste medio de la violación de datos ha superado los 4,4 millones de dólares en Estados Unidos.

Es muchos de estos casos, el denominador común es el error humano, a los que se le suma la sofisticación de estas amenazas. Por eso, incluso aquellos profesionales que cuentan con una alta capacitación en ciberseguridad pueden ser engañados y caer en un ataque de phishing.

Los ciberdelincuentes cada vez tienen más información con la que llevar a cabo sus ataques haciendo uso de la ingeniería social. Esto está llevando a la proliferación del llamado ‘spear phishing’, cuando estas amenazas se dirigen a una audiencia en particular.

En las organizaciones, esto se ve cada vez más en los casos en los que los empleados reciben mensajes suplantando al director general de la compañía, o utilizando como gancho algún tipo de solicitud relacionada con la actividad del empleado. De esta forma, consiguen que el empleado sea el vector de entrada de ataques que dan a los ciberdelincuentes accesos a la red y los sistemas corporativos.

ciberseguridad empleados atacables vulnerables seguridad informatica vap very attacked person people cybersecurity proofpoint phishing empleado trabajador

Cómo protegerse de los ataques de phishing

Después de analizar más de 23.000 incidentes de seguridad, un informe de Verizon concluye que más de 4 de cada 5 infracciones involucran el elemento humano. Para evitarlo, formar a los usuarios para que presten mayor atención y reconozcan las amenazas a las que están expuestos es clave.

A menudo, los profesionales realizan sus tareas a gran velocidad. Dedicar unos segundos más de lo normal para realizar una tarea podría proteger a la empresa de la pérdida de datos, clientes y dinero.

Es esto contribuyen medidas como el uso del múltiple factor de autenticación, o los avisos por correo electrónico externo.

En concreto, para los correos electrónicos de phishing, muchas organizaciones tienen un sistema en el que, cuando se hace clic en un enlace, se requiere que pase por una pantalla emergente del portal interno de la empresa en la que el usuario debe confirmar que desea ir ese sitio.

Al detectar que el enlace no lleva a la página que se indica en el correo, el usuario puede recibir un correo electrónico en el que se le alerta de que, en caso de aceptar seguir el enlace no lleva a la página deseada.

Junto a esto, los expertos apuntan tres consejos básicos que las organizaciones deben tener en cuenta para proteger a los empleados de estos ataques de phishing.

  • Hacer de la seguridad una previsión y parte del proceso, no ir al zaga.
  • Animar a los empleados a trabajar con equipos de seguridad para encontrar alternativas seguras a las TI en la sombra (Shadow IT).
  • Hacer que la seguridad sea identificable para los empleados.

Crear una cultura de seguridad

Las empresas pueden implementar estrategias, capacitación y trucos para optimizar la seguridad de su organización, pero si los empleados de la empresa no creen que la seguridad sea una prioridad, no es muy útil.

Una de las mayores áreas de mejora para las organizaciones es cambiar su mentalidad de seguridad teniendo un enfoque preventivo. Esto significa que, en lugar de crear una aplicación o plataforma y luego que sea revisada por el equipo de seguridad, es clave incluir al equipo de seguridad en el proceso desde el principio.

El cambio de mentalidad también puede funcionar para limitar la TI en la sombra. En lugar de que los empleados usen sistemas, aplicaciones o dispositivos no autorizados para el trabajo, es clave que soliciten ayuda al equipo de seguridad para protegerlos o encontrar una alternativa más segura.

Todas estas acciones contribuirán, sin duda, a que los empleados sean más conscientes de las amenazas existentes y estén mejor preparados para identificarlas y hacerles frente.

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre