Llegamos a ustedes gracias a:



Noticias

Informe Kaspersky: El tipo de brecha menos divulgada

[30/11/2021] Una ciberdefensa corporativa exitosa es imposible sin que los empleados de todos los niveles unan sus fuerzas. La tecnología es importante para prevenir los ciberataques, pero el factor humano sigue desempeñando un papel crucial, ya que está relacionado con el 85% de los incidentes. La encuesta mundial realizada por Kaspersky a los responsables de la toma de decisiones de las empresas de TI, titulada Kaspersky Employee Wellbeing 2021, ofrece información sobre el grado de colaboración de las organizaciones y los trabajadores para protegerse a sí mismos, a sus clientes y a los demás.

"A pesar de que los casos de alto perfil de las violaciones de datos se asocian principalmente con el robo de información de los clientes, los datos personales de los empleados también son muy populares entre los ciberdelincuentes. En el 2021, más de un tercio (35%) de las organizaciones no fueron capaces de proporcionar una seguridad completa de los datos de sus trabajadores y se enfrentaron a incidentes relacionados con este tipo de información. Según la encuesta, solo es superado por los datos de identificación personal de los clientes (43%), comentó Evgeniya Naumova, vicepresidenta ejecutiva de Negocios Corporativos de Kaspersky.

El hecho de que el 45% de las organizaciones afectadas no haya revelado públicamente una violación de los datos personales de los empleados, agregó la ejecutiva, es una señal de que el problema es mayor de lo que parece. En cuanto al resto, el 43% ha compartido información sobre un incidente de forma proactiva, y el 12% lo ha hecho después de que se haya filtrado a los medios de comunicación. "Esto demuestra que este tipo de filtración es la que menos se divulga, en comparación con las filtraciones de datos de empresas o clientes.

¿Se divulgó la filtración de datos y cómo?

"Cuando una organización se enfrenta a un ciberincidente, una correcta comunicación de crisis no es menos importante que las acciones de respuesta y recuperación. Los riesgos de violación de datos son constantes y las empresas deben reconocer que es preferible una divulgación proactiva a una exposición en la prensa. Las comunicaciones adecuadas, precisas y oportunas, sin embargo, no solo minimizan el daño potencial a la reputación, sino que también pueden mitigar en gran medida las pérdidas financieras directas. Para evitar el pánico o la confusión, una empresa debe considerar el desarrollo de un plan de crisis claro y formar a los empleados por adelantado. Los profesionales de la comunicación corporativa y los equipos de seguridad informática deben colaborar para intercambiar información sobre conocimientos de ciberseguridad y determinar las guías, herramientas, canales y lenguaje que podrían ser útiles para manejar con precisión las comunicaciones tanto internas como externas en caso de emergencia", sostuvo Naumova.

Agregó que la falta de conocimiento externo sobre posibles incidentes de ciberseguridad no suele ser mitigada por los esfuerzos internos. Según la investigación, solo el 44% de las organizaciones ya ha implementado la educación y la formación en materia de seguridad para garantizar que los empleados reciban información crucial. Además, más de la mitad (64%) de esas empresas han experimentado al menos un problema relacionado con la calidad de estos servicios. Esto incluye la insatisfacción con la alta complejidad de los cursos y la falta de apoyo o experiencia por parte del proveedor de formación.

"No se puede esperar que los empleados que no han recibido conocimientos básicos sobre la importancia de las medidas de protección cumplan las normas. En el 2021, el cumplimiento de las normas por parte del personal y el manejo de una cultura de seguridad insuficiente por parte de los usuarios finales es una de las tres principales preocupaciones de las empresas en lo que respecta a la seguridad informática: el 42% de los encuestados lo citó entre los problemas más alarmantes. En la práctica, las empresas se enfrentan regularmente a infracciones de la seguridad de la información (41%), al uso inadecuado de los recursos informáticos (42%) y a la compartición indebida de datos a través de dispositivos móviles (38%), indicó la ejecutiva.

La prevención de brechas requiere una acción concertada por parte de todos los que interactúan con un sistema corporativo y que podrían ser un objetivo potencial para los atacantes. Para asegurar mejor a los empleados, Naumova señaló que las empresas deben combinar medidas de protección fiables con el mantenimiento de la conciencia de seguridad entre sus equipos. Esto incluye:

  • Garantizar la rápida aplicación de parches y la actualización del software para evitar que los adversarios penetren en el sistema.
  • Implantar un cifrado de alto nivel para los datos sensibles y aplicar credenciales sólidas y una autenticación multifactorial.
  • Utilizar una protección eficaz de los puntos finales con capacidades de detección y respuesta a las amenazas para bloquear los intentos de acceso, y servicios de protección gestionados para una investigación eficiente de los ataques y una respuesta experta.
  • Minimizar el número de personas con acceso a los datos cruciales. Es más probable que se produzcan infracciones en organizaciones en las que demasiados empleados trabajan con información confidencial y valiosa que puede venderse o utilizarse de alguna manera.
  • Equipar a sus empleados con las habilidades de ciberseguridad que necesitan. Proporcionar una formación que presente toda la información necesaria y actualizada en un formato atractivo. Para ahorrar tiempo y recibir un servicio de calidad, las empresas deben trabajar con proveedores reconocidos a nivel mundial que puedan garantizar un proceso de aprendizaje eficiente.