El noventa por ciento de las fallos de seguridad resultan de error humano

El noventa por ciento de las fallos de seguridad resultan de error humano

Cada año se gastan miles de euros en software y aplicaciones de seguridad, firewalls y otros sistemas de bloqueo, pero las verdaderas amenazas se esconden entre asparedes de las empresas. El ciberespacio es hoy un auténtico campo de batalla, donde empresas, gobiernos, todo tipo de instituciones y particulares intentan proteger sus datos, activos e información crítica de ataques, robos y uso indebido. Dentro y fuera del sector empresarial, todos saben que es necesario poner trabas a las puertas virtuales, para evitar pérdidas que pueden ser irreparables para las organizaciones, afectando desde la base de clientes a las relaciones con socios, pasando por el impacto negativo en los beneficios, los ingresos y la reputación.

errores humanos inteligencia

De acuerdo con un estudio el conjunto de Experian, una empresa de gestión de riesgos bancarios, y el Ponemon Institute, especializado en investigaciones relacionadas con la seguridad, las fallas de seguridad surgen en primer lugar en la lista de sucesos que afectan a la reputación de las empresas, por encima desastres ambientales y del mal servicio al cliente.

Un estudio reciente de EY señala que el 87% de las organizaciones tienen niveles de ciberseguridad y resiliencia limitados, resultado de presupuestos bajos, y que el 55% de ellos no encaran la protección de la empresa como una parte integrante de su estrategia.

La respuesta más común al desafío de la seguridad pasa por la instalación de firewalls, creación de redes ltrasónicas, la encriptación de enlaces y la distribución de contraseñas para que nada falla. Sin embargo, ya pesar de toda la inversión realizada por gran parte de las empresas en esta área, el mayor problema siguen siendo las personas que
en ellas trabajan. En 2013, un estudio del FBI revelaba que los ataques internos costaban, en promedio, 412 mil dólares (unos 358.000 euros al tipo de cambio actual) por incidente y señalaba las amenazas internas como las más difíciles de identificar y resolver. Cinco años , este valor será ciertamente muy superior, como el número de incidentes, que no deja de crecer.

El peligro acecha dentro de las organizaciones

¿Pero qué amenazas son éstas? En primer lugar, la escasa seguridad de las contraseñas (81% de las fallas de seguridad son causadas por robo de credenciales, revela un estudio de Forbes). Mandan las ‘reglas’ de la seguridad informática que las palabras pase sean seguras y alteradas con alguna frecuencia, para evitar fallos. Sin embargo, es común que los usuarios optar por utilizar contraseñas demasiado simples o incluso obvias, muchas veces relacionadas con su vida personal. Fechas o lugares de nacimiento, nombres de los hijos o de los perros, entre otras combinaciones que, siendo fáciles de memorizar para el usuario, son también simple de descubrir para quien gana la vida a romper la seguridad ajena. Otro error común por parte de los usuarios es la elección de la misma contraseña para múltiples accesos – según Forbes, el 73% de las contraseñas se duplican. Direcciones de correo electrónico diferentes, acceso al sistema informático de la empresa, entre otros, comparten a menudo la misma palabra de acceso. Una vez más la pereza o el facilitismo a abrir brechas de seguridad.

Sin embargo, este problema empezó a ganar visibilidad en los últimos años gracias a la creciente movilidad y el uso de teléfonos inteligentes, tablets y otros dispositivos móviles vinculados de forma remota a los sistemas de información de las empresas. La información crítica para las organizaciones superaron las barreras físicas de la oficina y pasó a estar por todo el lado. Los flujos de información cada vez más elevados aumentan los riesgos, dificultan la protección (hay terabytes de datos a circular en todas las redes empresariales) y requieren más inversión en ciberseguridad. A unirse a esto, otro factor de riesgo: el 80% de los los empleados de las empresas utilizan aplicaciones no aprobadas por la organización.

La transformación digital comienza en la seguridad

Esta dispersión de información exige un enfoque distinto a la cuestión de la seguridad, que debe ahora definir una estrategia global que incluya hardware, software, sistemas financieros y administrativos, herramientas de productividad, etc. En resumen, una estrategia que obligue a cambiar procesos y mentalidades, una vez que, según la consultora Gartner, el 44,2% de las vulnerabilidades descubiertas fueron encontradas en aplicaciones y no en navegadores o aplicaciones del sistema, como sería esperado.

La nueva conciencia de seguridad que se exige a todos los niveles de una organización representa sólo una pequeña pieza en el engranaje de la transformación digital de que tanto se habla, pero abre puertas a un aumento creciente de la inversión en esta área. Una tendencia ya identificada por Gartner, que anticipaba en 2015 que los gastos de ciberseguridad alcanzaban los 170.000 millones de dólares (unos 148.000 millones de euros) en 2020, es decir, más del doble de los 75.000 millones de dólares 64 000 millones de euros) de hace tres años.

Sin embargo, a pesar de la creciente inversión, muchas empresas siguen sin estar preparadas para la nueva realidad. Dice un estudio reciente de la EY que el 87% de las organizaciones tienen niveles de ciberseguridad y resiliencia limitados, resultado de presupuestos bajos, y que el 55% de ellas no encaran la protección de la empresa como una parte integrante de su estrategia. Curioso es el hecho de que las empresas más grandes encuestadas por EY presentan mayores lagunas que las pequeñas en este punto. Sin embargo, las que respondieron a este estudio esperan aumentar su presupuesto para la seguridad durante el próximo año.

Siete consejos para evitar fallos internos

1. La identificación de la información crítica para una organización es el primer paso para garantizar su protección y seguridad, así como de sus activos más valiosos.
2. Determinar con precisión quién accede a la información crítica de la empresa reduce los riesgos de intrusión y fallos de seguridad.
3. Mantener los sistemas informáticos actualizados y protegidos con firewalls y otros los sistemas de bloqueo es fundamental.
4. Aplicar una estrategia de seguridad en varios frentes, incluidos los sistemas de identificación, registro de identidad, credenciales de acceso, aplicaciones, dispositivos de red, etc., aprovechando las tecnologías como la biométrica y la inteligencia artificial, combinadas con blockchain, para crear formas de identificación únicas y
menos falibles.
5. Recurrir a soluciones de software a Service (SaaS) y almacenamiento en nube.
6. Introducir sistemas de monitorización de datos y redes que detecten cualquier acción
poco usual.
7. La formación del equipo es esencial para evitar fallos de seguridad (fomentar el uso
de dispositivos personales desconectados de la red de la empresa para el uso de redes sociales y
navegación en la red).

Cinco cuestiones que deben plantearse al equipo de seguridad

La alineación estratégica entre administración y equipo técnico es esencial para que no
hay fallas de seguridad. Aprenda cuáles las preguntas que no debe dejar de plantear:

1. ¿Cómo gestionamos el uso de la nube?
2. ¿Qué estamos haciendo para protegernos de las amenazas internas?
3. ¿Tenemos un grupo de trabajo de ciberseguridad?
4. ¿Disponemos de una política BYOD (Bring Your Own Device)?
5. ¿El equipo de seguridad dispone de un presupuesto adecuado?

Deja un comentario