El Blog de TMR B2B.

Si bien la Ciberseguridad relacionada con los empleados es la primera preocupación para los responsables de seguridad en los departamentos TI, las organizaciones no están tomando las medidas adecuadas para prevenir algunas conductas de riesgo por parte de sus trabajadores, que ponen en peligro la seguridad de la empresa. Al menos, así lo afirma un estudio realizado por Experian Data Breach Resolution y Ponemon Institute sobre Seguridad y Privacidad, en el cual advierten que más de la mitad (55%) de las compañías encuestadas, ya han sufrido algún tipo de incidente relacionado con la Ciberseguridad, debido a la actuación negligente o maliciosa por parte de algún empleado.

Más alarmante aún es que un total del 60% de las empresas encuestadas a nivel mundial, creen que sus empleados no están bien informados o no tienen los suficientes conocimientos, sobre los riesgos que corre la organización  en materia de seguridad TI, a pesar de la inversión en formación para los trabajadores y otros esfuerzos para reducir los descuidos, en el uso de información sensible y confidencial.

¿Podemos responsabilizar a los empleados de la mayor parte de los ciberataques que reciben las empresas?.

Según este estudio, no sería justo. La encuesta refleja una gran falta de preocupación por parte de los ejecutivos de la alta dirección, ajenos a los departamentos de TI. Sólo el 35% de los encuestados mostró que la alta dirección ve como una prioridad, que los empleados estén bien informados sobre cómo poner en  riesgos la seguridad de los datos afectan a la organización. En la práctica, apenas el 46% de las empresas realizan una formación obligatoria para todo el personal.

Cuando una compañía sufre una violación de sus datos, tiene una oportunidad única para volver a involucrar a su plantilla sobre la importancia de proteger la información. Sin embargo, el 60% de las organizaciones no realizan cursos de capacitación sobre Ciberseguridad en ese momento, perdiendo una ocasión fundamental para hacer hincapié en las mejores prácticas sobre seguridad TI.

Entre las empresas que forman a sus empleados, la eficacia de los programas varía enormemente y en muchos casos, la formación no es lo suficientemente amplia para impulsar un cambio de comportamiento significativo en los trabajadores. Gran parte de esos programas solo proporcionan conocimientos básicos y los cursos no se imparten de manera regular. Alrededor del 43% de las organizaciones encuestas ofrecen tan solo una vez, una formación muy elemental para sus empleados, y a menudo estos cursos no cubren una serie de grandes riesgos, que pueden conducir a la violación de los datos más sensibles que se manejan en las empresas. Por ejemplo, cubren ataques de phishing en un 49% de las organizaciones; el uso de servicios en la nube de forma segura en menos de un tercio (29%); y seguridad de dispositivos móviles en el 38%. El informe advierte que un solo smartphone infectado con malware puede costar a una compañía más de ocho mil euros de media.

Ante estos datos, las empresas deberían plantearse que por muy costosos que sean los sistemas de seguridad que implanten en sus organizaciones, si no forman sobre Ciberseguridad a sus empleados, les puede salir muy caro.

SÍGUENOS