Concienciación sobre ciberseguridad: 7 maneras en las que sus empleados dejan a su empresa vulnerable a ciberataques

Las empresas recopilan y almacenan grandes cantidades de datos. Desde facturas hasta información de tarjetas de crédito de clientes, una enorme parte de su empresa se centra en datos privados.

Para conseguir el éxito, tiene que confiar a los empleados estos datos. Pero, a veces, incluso el empleado con la mejor intención puede cometer errores que dejen a su empresa vulnerable a ciberataques.

Recientemente hemos realizado un estudio para averiguar cuántas empresas temen ciberataques que tienen su origen en errores de los empleados. Más de la mitad de las empresas encuestadas creen que la falta de conocimiento, los descuidos o la malicia por parte de los empleados pueden derivar en un ciberataque. Una investigación adicional ha mostrado que el 84 % de las víctimas de ciberataques atribuyen el ataque, al menos en parte, a un error humano, según ComputerWeekly.com. Por tanto, ¿qué tipo de errores que cometen los empleados dejan a su empresa a merced de ciberataques? Aquí encontrará una lista de los siete errores más comunes que cometen los empleados y qué puede hacer para solucionarlos.

1. Abrir correos electrónicos de personas desconocidas

El correo electrónico es la forma preferida para la comunicación empresarial. Una persona normal recibe 235 correos electrónicos cada día, según The Radicati Group. Con esa cantidad de correos electrónicos, es lógico que algunos sean estafas. Abrir un correo electrónico desconocido, o un archivo adjunto de un correo electrónico, puede liberar un virus que ofrezca a los cibercriminales una puerta trasera a todo el contenido digital de su empresa.

Soluciones:

• Indique a los empleados que no abran correos electrónicos de personas que no conocen.
• Indique a los empleados que nunca abran archivos adjuntos o enlaces desconocidos.

2. Contar con credenciales de inicio de sesión poco seguras

Mashable informó que el 81 % de los adultos utilizan la misma contraseña para todo. Repetir contraseñas con información personal como, por ejemplo, un apodo o la dirección de una calle suponen un problema. Los cibercriminales tienen programas que explotan perfiles públicos para conseguir posibles combinaciones de contraseñas y probar diversas posibilidades hasta que alguna funciona. También utilizan ataques de diccionario que prueban automáticamente diferentes palabras hasta encontrar una coincidencia.

Soluciones:

• Requerir que los empleados utilicen contraseñas únicas.
• Añadir números y símbolos a una contraseña para mayor seguridad. Por ejemplo, cambiar "Seattle" a "S3att!e".
• Crear reglas que requieran que los empleados creen contraseñas complejas y únicas de al menos 12 caracteres; y cambiarlas si existe alguna razón para pensar que han sido vulneradas.
• Utilizar un software gestor de contraseñas que genera automáticamente contraseñas individuales complejas para varias aplicaciones, sitios web y dispositivos.

3. Dejar contraseñas en notas adhesivas

¿Alguna vez ha deambulado por la oficina y ha visto una nota adhesiva en un monitor con contraseñas escritas? Sucede más a menudo de lo que cree. Aunque usted desea un cierto nivel de confianza en su organización, dejar contraseñas a la vista es demasiado.

Soluciones:

• Si los empleados tienen que anotar las contraseñas, solicite que las guarden en cajones con llave.

4. Tener acceso a todo

En algunos casos, las empresas no compartimentan los datos. En otras palabras, todo el mundo (desde becarios hasta miembros de la junta directiva) puede acceder a los mismos archivos de la empresa. Dar a todo el mundo el mismo acceso a los datos aumenta el número de personas que pueden filtrar, perder o gestionar mal la información.

Soluciones:

• Configurar diversos niveles de acceso y dar permiso solo a aquellos que lo necesitan en cada nivel.
• Limitar el número de personas que pueden cambiar las configuraciones del sistema.
• No otorgar a los empleados privilegios de administrador en sus dispositivos a menos que realmente lo necesiten. Incluso los empleados con derechos de administrador solo deberían usarlos cuando sea necesario y no de manera rutinaria.
• Implementar un método de doble aprobación para poder procesar pagos superiores a una cantidad concreta a fin de luchar contra el fraude del CEO.

5. Falta de formación efectiva de los empleados

Las investigaciones han puesto de manifiesto que la mayoría de las empresas ofrecen formación sobre la ciberseguridad. Sin embargo, solo el 25 % de los ejecutivos de empresas consideran que la formación es efectiva.

Soluciones:

• Proporcionar formación de concienciación sobre la ciberseguridad anualmente. Entre los temas se pueden incluir:
• Razones e importancia de la formación sobre la ciberseguridad
• Phishing y estafas online
• Bloqueo de ordenadores
• Administración de contraseñas
• Cómo gestionar dispositivos móviles
• Ejemplos de situaciones pertinentes

6. No actualizar el software antivirus

Su empresa debe implementar software antivirus como medida de protección, pero su actualización no debe depender de los empleados. En algunas empresas, se solicita a los empleados que realicen actualizaciones y pueden decidir si actualizar o no. Probablemente, los empleados no actualizan en mitad de un proyecto ya que muchas actualizaciones les obligan a cerrar programas o reiniciar los equipos.

Las actualizaciones de antivirus son importantes, se deben realizar con prontitud y no deben quedar a cargo de los empleados.

Soluciones:

• Configurar todas las actualizaciones del sistema para que tengan lugar automáticamente tras la jornada laboral.
• No permitir que ningún empleado, tenga el cargo que tenga, pueda obviar esta política de la empresa.

7. Utilizar dispositivos móviles no seguros

¿Sus empleados tienen teléfonos móviles, tablets o portátiles? Si es así, ¿cuenta con protocolos para mantener estos dispositivos protegidos? Muchas empresas tienen una actitud permisiva hacia los dispositivos móviles, pero son un blanco fácil para los cibercriminales.

Soluciones:

• Todos los dispositivos deben estar protegidos con contraseña.
• En el caso de pérdida o robo de un dispositivo, contar con un punto de contacto para informar de esto y tomar medidas para desactivar el dispositivo de forma remota.
• Utilizar soluciones de seguridad de endpoints para gestionar dispositivos móviles de forma remota.
• No realizar transacciones confidenciales mediante redes Wi-Fi públicas que no son de confianza.

Los empleados son humanos y pueden cometer accidentes digitales. Sin embargo, si se toman determinadas medidas para proteger los dispositivos y formar a los empleados, puede evitar las ciberamenazas.

Por supuesto, la gestión de la ciberseguridad de la empresa va más allá de la formación de los empleados. Proteger la huella digital de la empresa y gestionar las amenazas requiere la ayuda de una prestigiosa empresa de ciberseguridad.

Artículos y enlaces relacionados:

• Cómo evitar riesgos de seguridad de la Wi-Fi pública
• Seguridad Wi-Fi pública
• Prevención del cibercrimen
• Elección de un programa antivirus

Productos y servicios:

• Kaspersky Enterprise Security Training
• Kaspersky Enterprise Professional Services
• Evaluación de la seguridad empresarial de Kaspersky