¿Cómo evitar que los empleados sean la puerta de entrada del malware?
Estudios encomendados por Bitdefender, marca líder global en seguridad informática, revelan que el factor humano es una debilidad clave y que los empleados caen víctimas de la ingeniería social. El pretexto financiero y el phishing, se encuentran entre los principales casos reportados.
Por otro lado, el correo electrónico sigue siendo el principal punto de entrada. Un negocio tiene tres veces más probabilidades de ser víctima de un ataque de ingeniería social que de una vulnerabilidad en sus sistemas.
Para evitar un ataque cibernético en el trabajo resulta fundamental considerar el grado de vulnerabilidad al que están expuestos los empleados hoy en día, considerando, justamente, que los hackers lo que hacen es usar el tipo de inteligencia social que, de alguna manera, permite generar empatía, antes de robar información. En ese sentido, estudios encomendados por Bitdefender, marca líder global en seguridad informática, revelan que el pretexto financiero y el phishing, se encuentran entre los principales casos reportados (el 98% de los incidentes sociales y el 93% de todas las infracciones investigadas, respectivamente). Por otro lado, el correo electrónico sigue siendo el principal punto de entrada, informado en el 96% de los casos. De esta forma, se determinó que un negocio tiene tres veces más probabilidades de ser víctima de un ataque de ingeniería social que de una vulnerabilidad en sus sistemas, mostraron los datos.
Ante esta realidad, la gran pregunta es qué deben hacer las empresas para evitar que sus empleados sean la puerta de entrada ante cualquier malware, como el ransomware -rapto de información por el cual se pide rescate- que se ha convertido en la variedad más frecuente de software malicioso, según se indica en el Informe de Investigaciones de Incumplimiento de Datos (DBIR) de 2018 de Verizon, que subió al cuarto lugar en el 2017, cuando en el 2014 estaba en el 22.
En este informe de Verizon se concluye que el ransomware ha comenzado a afectar a los sistemas críticos de negocios en lugar de a los equipos de escritorio, lo cual lleva a mayores demandas de rescate, lo que hace que la vida de un cibercriminal sea más rentable con menos trabajo.“Es muy importante que los gerentes de las empresas, considerando no solo al área de TI sino, sobre todo, las administrativas como la gerencia general, finanzas y recursos humanos, tengan muy claro que la seguridad no es un producto sino es un proceso, lo cual significa que no hay solución que pueda proteger a una organización/empresa a un 100%, si los líderes y colaboradores no tienen conciencia o desconocen sobre los principales riesgos y, lo que es más crítico, que no sepan cómo prevenirlos en su día a día”, señala Elba Salas, gerente general de Intecnia Corp,Country Partner de la marca Bitdefender en el Perú.
En ese sentido, Salas destacó sobre la importancia de realizar charlas y capacitaciones que permitan dar información valiosa a los colaboradores para evitar que cometan algún tipo de imprudencia, como abrir adjuntos provenientes de correos maliciosos o caer en la maña de los extorsionadores, ya que el número de incidentes ocasionados por pretexto financiero, dirigidos principalmente a los departamentos de recursos humanos, se han quintuplicado desde el año pasado.
Para cumplir con la ley de Protección de datos personales en el país
Por otro lado, la gerente general de Intecnia Corp, Country Partner de la marca Bitdefender en el Perú, hizo un llamado a las empresas para que hagan auditorías que les permita diagnosticar, de acuerdo al rubro de negocio en el que están y al tipo de información más vulnerable con el que cuentan, cuáles son los principales riesgos para, de acuerdo con estos, tener un plan de acción concreto para la prevención. “Hay profesionales de TI que ya están certificados con el ISO/IEC 27001 Sistema de Gestión de la Seguridad de la Información que facilita la implementación de la ley de Protección de Datos Personales, que pueden hacer un buen diagnóstico y plan de prevención en lo que corresponde a la administración de datos sensibles para, de esta forma, contar con las medidas de seguridad más apropiadas que resguarden a las empresas de este tipo de amenazas que, además de representar pérdidas económicas y daños a la imagen y reputación de una empresa, pueden generarles hasta sanciones penales, como parte del cumplimiento de esta ley”, refiere Elba Salas.