content/es-mx/images/repository/isc/2018-images/threat-intelligence-solutions-evaluation.jpg

Las empresas recopilan y almacenan considerables cantidades de datos. Gran parte de su negocio se centra en datos privados, como facturas de pago o información de tarjetas de crédito de clientes.

Para que su empresa tenga éxito, debe confiar estos datos a los empleados. No obstante, algunas veces, incluso los empleados más bienintencionados pueden cometer errores que dejan su empresa vulnerable ante los ciberataques.

Recientemente, se llevó a cabo un estudio para determinar cuántas empresas temen a los ciberataques derivados de errores de empleados. Más de la mitad de las empresas encuestadas considera que la falta de conocimiento, la negligencia o el dolo por parte de un empleado podría derivar en un ciberataque. Según ComputerWeekly.com, en otros estudios realizados, se demuestra que el 84% de las víctimas de ciberataques atribuyen el ataque, al menos de forma parcial, a errores humanos. Por lo tanto, ¿qué tipo de errores de empleados hacen que su empresa sea vulnerable ante ciberataques? Esta es una lista de los siete errores de empleados más comunes y las medidas que puede tomar para solucionarlos.

1. Abrir mensajes de correo electrónico de remitentes desconocidos

El correo electrónico es la forma preferente de comunicación empresarial. Según The Radicati Group, una persona promedio recibe 235 correos electrónicos diarios. Con esa cantidad de mensajes, es lógico pensar que algunos se tratan de estafas. Abrir un mensaje de correo electrónico desconocido o un archivo adjunto a un correo electrónico puede liberar un virus que proporciona a los cibercriminales una puerta trasera para ingresar en el sistema digital de su empresa.

Soluciones:

  • Indique a los empleados que no abran mensajes de correo electrónico de personas que no conocen.
  • Indique a los empleados que nunca abran archivos adjuntos ni vínculos desconocidos.

2. Tener credenciales de inicio de sesión poco seguras

Mashable informó que el 81% de los adultos utilizan la misma contraseña para todo.  Las contraseñas repetitivas que incluyen información personal, como apodos o direcciones, suponen un problema. Los cibercriminales cuentan con programas que extraen información de perfiles públicos en búsqueda de posibles combinaciones de contraseña y prueban con distintas posibilidades hasta que una coincide. También utilizan ataques basados en diccionario, en los que se prueban automáticamente distintas palabras hasta que una coincide.

Soluciones:

  • Exija a los empleados que utilicen contraseñas únicas.
  • Agregue números y símbolos a la contraseña para aumentar la seguridad. Por ejemplo, cambie “Montevideo” por “M0nt3v!d3o”.
  • Cree reglas que exijan que los empleados creen contraseñas complejas únicas de 12 caracteres como mínimo y que las cambien si en algún momento consideran que la seguridad se vio afectada.
  • Para facilitar el trabajo, use un software administrador de contraseñas a fin de generar automáticamente contraseñas exclusivas y seguras para distintos sitios web, aplicaciones y dispositivos.

3. Dejar contraseñas escritas en notas adhesivas

Es probable que alguna vez haya recorrido la oficina y se haya encontrado una nota adhesiva con contraseñas escritas en alguna pantalla. Esto es más común de lo que piensa. Pese a que tener cierto nivel de confianza en la organización es lo ideal, dejar las contraseñas visibles es algo que implica un exceso de confianza.

Soluciones:

  • Si es necesario que los empleados anoten las contraseñas, pida que mantengan el papel en cajones cerrados con llave.

4. Tener acceso absoluto

En algunos casos, las empresas no clasifican los datos; es decir, todos los miembros de la empresa, desde los empleados internos hasta los miembros de la junta directiva, tienen acceso a los mismos archivos. Otorgar a todos el mismo tipo de acceso a los datos aumenta el número de personas que puede filtrar la información, perderla o usarla de manera inadecuada.

Soluciones:

  • Configure distintos niveles de acceso, en los que se otorguen permisos únicamente a las personas que los necesiten en cada uno de ellos.
  • Limite la cantidad de personas que pueden hacer cambios en la configuración del sistema.
  • No otorgue a los empleados privilegios de administración para sus dispositivos, a menos que realmente los necesiten. Incluso los empleados que cuentan con este tipo de privilegios, deberían usarlos únicamente cuando sea estrictamente necesario y no de forma habitual.
  • Implemente un método de doble autorización antes de realizar pagos que superen un monto determinado, a fin de combatir los fraudes contra directores ejecutivos.

5. Carecer de capacitaciones eficaces para los empleados

En las investigaciones, se demuestra que la mayoría de las empresas ofrecen capacitaciones sobre la ciberseguridad. Sin embargo, solo el 25% de los ejecutivos cree que la capacitación funciona.

Soluciones:

  • Proporcione capacitación anual de concientización sobre la ciberseguridad. Estos son algunos de los temas que deberían abordarse:
  • Los motivos para capacitarse sobre la ciberseguridad y su importancia
  • Phishing y fraudes en línea
  • Bloqueo de equipos
  • Administración de contraseñas
  • Cómo administrar dispositivos móviles
  • Ejemplos de casos relevantes

6. No actualizar los softwares antivirus

Su empresa debe implementar software antivirus como medida de protección, pero las actualizaciones no deberían ser responsabilidad de los empleados. En algunas empresas, se pide a los empleados que instalen las actualizaciones y decidan si hacerlo o no. Es muy probable que los empleados omitan las actualizaciones si se encuentran trabajando en un proyecto, ya que muchas de ellas los obligan a cerrar programas o a reiniciar las computadoras.

Las actualizaciones de antivirus son importantes, se deben realizar de manera oportuna y esta responsabilidad no debería recaer en los empleados.

Soluciones:

  • Configure todas las actualizaciones del sistema para que se lleven a cabo automáticamente una vez que concluya el horario laboral.
  • No permita que ningún empleado, independientemente de su cargo, se excluya de esta directiva de la empresa.

7. Usar dispositivos móviles no seguros

¿Sus empleados tienen teléfonos, tablets o computadoras portátiles corporativos? De ser así, ¿cuenta con algún protocolo para proteger esos dispositivos? Muchas empresas son poco rigurosas en lo que respecta a los dispositivos móviles, pero son un blanco fácil para los cibercriminales.

Soluciones:

  • Todos los dispositivos deberían estar protegidos mediante contraseña.
  • Si un dispositivo se pierde o lo roban, tenga un punto de contacto para informar la situación y cuente con medidas pertinentes para desactivar el dispositivo de manera remota.
  • Utilice soluciones de seguridad de endpoints para administrar dispositivos móviles de forma remota.
  • No realice transacciones confidenciales en redes de Wi-Fi públicas poco confiables.

Los empleados son humanos y pueden ocurrir accidentes digitales. Sin embargo, si toma ciertas medidas para proteger los dispositivos y capacitar a los empleados, puede evitar las ciberamenazas.

Desde luego, la administración de la ciberseguridad de su empresa trasciende la capacitación de los empleados. Proteger el perfil digital de una empresa y administrar las amenazas requiere la ayuda de una empresa de ciberseguridad confiable.

Otros artículos y vínculos relacionados:

Productos y servicios

Concienciación sobre la ciberseguridad: Siete maneras en que sus empleados pueden hacer que su empresa sea vulnerable ante ciberataques

La falta de concientización acerca de la ciberseguridad y la negligencia ante las prácticas recomendadas pueden derivar en un ciberataque contra su empresa. Obtenga más información sobre siete errores que sus empleados podrían estar cometiendo ahora mismo.
Kaspersky Logo