Los empleados de todo tipo de empresas acceden cada semana a59 páginas web potencialmente peligrosas, lo que equivale a 8,5 URLs al día,según un estudio de NetMotion. Esto supone que, con una jornada laboral de 8horas, estas personas entran en webs peligrosas más de una vez cada hora. Tododependerá de los conocimientos en ciberseguridad de cada uno de ellos, pero enmuchos casos la actividad de un empleado puede llegar a tener más peligro parala empresa que un ciberataque externo. Un peligro que puede crecer si setrabaja de forma remota.
Según un estudio de Bitdefender, en el que se recogen las opiniones de 6.724 profesionales de TI de todo el mundo, el 86% de las empresas está de acuerdo en que los ciberataques han aumentado durante la pandemia del COVID-19. Para más de un tercio de los encuestados (34%) la principal preocupación es que la falsa sensación de seguridad y privacidad que ofrecen los hogares hace bajar la guardia a los trabajadores.
También temen (33%) que los empleados puedan volverse másperezosos a la hora de alertar a sus empresas sobre posibles amenazas oactividades sospechosas, o que puedan facilitar de forma involuntaria algunafuga de datos (31%). Además, si tenemos en cuenta que los ataques relacionadoscon Internet de las Cosas (IoT) también han aumentado durante esta crisis un38%, están claros los peligros que plantean los dispositivos inteligentesubicados en la misma red que los ordenadores portátiles corporativos.
Los cibercriminales apuestan cada vez más por el factor humano
Durante la actual pandemia, los ataques más comunes han sidolas campañas de phishing y whaling, en las que los ciberdelincuentes han utilizadolos miedos y la necesidad de información de los ciudadanos, basando sus ataquesen los errores humanos.
Esto no es algo nuevo. Los ciberdelincuentes han aprovechadocon éxito durante años los fallos en la psicología humana en los esquemas deingeniería social. En la actualidad, el auge de las redes sociales y lasnoticias falsas, unido a la pandemia, ha provocado que sea más fácil que nuncaser víctima de una estafa. En este contexto, han aumentado los correoselectrónicos de phishing que utilizan nuestros temores relacionados con elCOVID-19 como cebo. Son los correos que ofrecen kits de prueba, equipos de protecciónbaratos, información clave sobre vacunas, etc.
Estos tiempos tumultuosos requieren un nuevo enfoque para laciberseguridad. Y cada vez está más claro que este cambio debe comenzar en elcorazón del problema, que es el factor humano.
Análisis del riesgo humano
Lograr el equilibrio adecuado entre productividad y seguridad en una organización genera tensiones. Los empleados se sienten abrumados debido a la complejidad y al ritmo de los cambios, por lo que recurren a menudo a formas poco ortodoxas de hacer su trabajo, eludiendo los protocolos de seguridad establecidos.
Los entornos de trabajo remoto reducen los sistemas decontrol que tiene la organización sobre el comportamiento de los empleados(menos controles de seguridad de la red, sin controles físicos, etc.). Estootorga un mayor nivel de responsabilidad a los usuarios (a qué redes seconectan, quién tiene acceso físico a sus dispositivos, etc.). Ajustar loscontroles de seguridad y las restricciones en los endpoints puede parecer lamejor opción, pero también hay que tener en cuenta el equilibrio entreproductividad, control y frustraciones del usuario.
Para abordar este problema, los profesionales deciberseguridad han ideado una forma de hacer frente al error humano de manerarápida y eficiente. Se trata de soluciones de seguridad que incorporan elanálisis del riesgo humano, que evalúan los distintos riesgos y les otorgandiferentes puntuaciones, lo que permite a los responsables de seguridadidentificar los sistemas y usuarios con mayor exposición al riesgo y, enconsecuencia, tomar medidas precisas para mitigarlo sin necesidad de imponerrestricciones indiscriminadas a todo el entorno. Esto permite que losadministradores de TI actúen con una gran precisión, aumenten los controles deseguridad cuándo y dónde se requieran, e incluso lleven a cabo capacitacionespara los empleados que necesitan comprender mejor la seguridad corporativa.
De esta forma, equipados con un motor de análisis deriesgos, los administradores de TI pueden recibir alertas oportunas cuando, porejemplo:
• Un empleado acceda a demasiados sitios de riesgo en unperiodo de tiempo determinado.
• Un usuario se infecte después de acceder a recursos en laweb.
• Un usuario tienda a infectarse con malware regularmente.
• Un usuario olvide periódicamente renovar sus credencialesde acceso o no cumpla con las prácticas estándar de ciberseguridad.
Con una integración más sólida entre la evaluación y loscontroles de seguridad, los administradores de TI pueden alternar entre la mitigaciónautomatizada y semiautomatizada, aumentar el enfoque de monitorización enacciones de riesgo individuales y desplegar automáticamente acciones decapacitación de conciencia de seguridad en el momento y lugar que se necesiten.
El primer paso para lograr una postura sólida de ciberseguridad en las empresas consiste, sin duda, en reducir las acciones de los usuarios que generan riesgos.
- Juan Grau, Regional Sales Manager de Bitdefender en España