Cualquier empleado requiere un periodo de adaptación cuando llega a una nueva empresa. Las personas que se incorporan a nuestro equipo tienen que aprender las tareas que han de llevar a cabo, los procedimientos para realizarlas, las herramientas y tecnologías utilizadas, la cultura organizacional, etc.
Durante este proceso de aprendizaje, la compañía está expuesta a posibles errores, e incluso a brechas en la ciberseguridad, tanto por descuidos u omisiones como por acciones deliberadas, tal y como advierte Proofpoint.
Hablemos primero de las exposiciones involuntarias. “Tradicionalmente, cuando una persona se incorpora a una empresa, pasa por un periodo en el que recibe un cierto nivel de formación sobre el cumplimiento de la normativa y el sistema técnico antes de incorporarse oficialmente al puesto de trabajo. Pero en los entornos de trabajo actuales, con escasez de personal, los recién contratados suelen trabajar de inmediato”, indican los expertos de la empresa de ciberseguridad.
“Reciben formación cuando han pasado de dos a cuatro semanas y ya tienen acceso a datos potencialmente sensibles. Por tanto, no es de extrañar que la pérdida accidental de datos y el sabotaje del sistema sean dos de los riesgos internos más comunes en este período”, especifican.
Asimismo, remarcan que otra fuente de riesgo está relacionada con el cumplimiento de expectativas diferentes sobre el trato de los datos y de la información. “Puede que el usuario en su organización anterior no haya tenido los mismos requisitos de privacidad y cumplimiento que los que ahora debe cumplir en su nuevo empleo. O que los patrones de comportamiento de los recién contratados sean contrarios a la naturaleza de su actual empresa”, exponen.
Por ejemplo, explican que en los centros educativos se valora la colaboración, el intercambio de información y el aprendizaje colectivo, mientras que la mentalidad es muy distinta en un sector tan regulado como el de los servicios financieros.
De hecho, los investigadores de Proofpoint afirman que ha habido casos importantes de filtración de datos debido a que los contratados venían de trabajos en los que las políticas y los procedimientos eran mucho menos estrictos o controlados.
Ataques a nuestra ciberseguridad
Buena parte de los problemas surgen por errores involuntarios, pero también se producen situaciones en las que, si bien los empleados no actúan con malas intenciones, sí que atentan contra la seguridad de forma deliberada.
De acuerdo con un informe de Kaspersky, la omisión de los protocolos de ciberseguridad por parte de los empleados explica el 15% de los incidentes sufridos por las empresas españolas, tal y como recogíamos en EMPRENDEDORES.
Este tipo de infracciones de las políticas de ciberseguridad por parte de los responsables de seguridad informática causaron el 5% de los incidentes cibernéticos. Otros profesionales de TI y sus compañeros no informáticos provocaron el 8% y el 2% de los ciberincidentes, respectivamente, al infringir los protocolos de seguridad.
Además, Kaspersky recalca que el problema más común es que los empleados hacen deliberadamente lo que está prohibido y no cumplen lo que se les exige. Por ejemplo, un 8% de los incidentes cibernéticos de los dos últimos años se produjeron por el uso de contraseñas débiles o por no cambiarlas a tiempo.
Otro 13% de las violaciones de la ciberseguridad fueron provocadas por la visita de los empleados a sitios web no seguros. Y un 16% de organizaciones consultadas sufrieron incidentes cibernéticos porque los trabajadores no actualizaron el software o las aplicaciones del sistema cuando era necesario.
Igualmente, el 18% de las empresas españolas sufrieron incidentes porque sus empleados utilizaron sistemas no autorizados para compartir datos o accedieron a datos a través de dispositivos no autorizados. Otro 16% de las compañías se vieron afectadas por el envío de datos a direcciones personales de correo electrónico. Y otra acción que perjudica es el despliegue de TI en la sombra en dispositivos de trabajo, pues el 8% de las compañías indican que los trabajadores instalaron en estos equipos software no autorizado por sus departamentos de TI.
De este modo, los expertos de Proofpoint aconsejan “tener un sano escepticismo ante nuevas contrataciones”, aunque también señalan que “no hay que suponer lo peor”.
“Una de las principales cuestiones que se debe evaluar en estos profesionales es su comportamiento en cuanto a información privilegiada, preguntándose si podrían robar estos datos o causar algún daño a la organización. No han sido pocos los incidentes en los que personas malintencionadas se han abierto paso en una empresa con esos propósitos a través de un proceso de contratación, incluso sin tener todas las habilidades requeridas para el puesto. En esos casos, de hecho, tratarán de progresar rápidamente hacia sus objetivos para salir antes de que su incapacidad se haga evidente”, alertan.
Por ello, los profesionales de ciberseguridad de nuestra empresa deben estar preparados, por si las cosas no salen según lo previsto. “En un momento en el que han aumentado las amenazas internas y la pérdida de datos provocada por las personas, más CISO que nunca (86%) ven el riesgo humano como una preocupación clave en materia de ciberseguridad en los próximos dos años. Según el informe ‘Data Loss Landscape’, el 17% de los encuestados en España afirmó que detrás de incidentes de pérdidas de datos en organizaciones había personas con información privilegiada, como empleados, proveedores o personas con malas intenciones. Pero muchas de ellas son amenazas internas: más de dos tercios (67%) de los empleados españoles ponen en riesgo a sus organizaciones de forma consciente”, puntualizan los investigadores de Proofpoint.
“Los primeros 90 días deben ser un período durante el cual el equipo de ciberseguridad de la empresa debe utilizar una mayor visibilidad y supervisión para asegurarse de que el empleado recién llegado no se comporta de forma arriesgada o maliciosa, ayudando a mitigar el riesgo de amenazas internas”, remarcan.
Además, recalcan que “resulta muy fácil para los trabajadores volver a caer en patrones de comportamiento habituales de manipulación, gestión y control de datos cuando se trasladan de una empresa a otra”, por lo que “es importante contar con un programa de amenazas internas eficaz”.
