- Bogota D.C - Calle 67 N° 7-94 Oficina 604
- 3138834959 - 601 7953297 Ext. 120
Se suele pensar que las pymes son objetivos menos valiosos para los ciberdelincuentes, pero lo cierto es que no son inmunes a sus ataques. Basta con tener una cuenta bancaria o información sensible susceptible de robo para estar en peligro. Desde Proofoint, empresa de ciberseguridad, señalan que los ciberataques se dirigen directamente a las personas, y no a los sistemas de las empresas sea cual sea su tamaño.
La forma más fácil de acceder a una organización es, por tanto, explotar la vulnerabilidad humana mediante tácticas de ingeniería social sencillas, pero sofisticadas, en forma de emails de phishing. Estos ataques pueden tener como objetivo engañar a la víctima para que haga clic en enlaces peligrosos e instale malware, o hacerse pasar por alguien de confianza que convenza a un empleado de transferir o revelar datos confidenciales.
En entornos de trabajo híbrido, como los que se dan actualmente, las empresas deben tener más presente que nunca la necesidad de métodos de protección frente a amenazas. Lo cierto, no obstante, es que “las pymes suelen tener menos margen de maniobra que las organizaciones más grandes y estructuradas en cuanto a tiempo de inactividad de los empleados y la red, además de disponer de menos fondos para reparar y recuperarse de un incidente”, subraya David Imoisli, mánager sénior para el sur de Europa en Proofpoint.
A esto hay que sumar, según el experto, que “es menos probable también que las pymes tengan acceso a herramientas técnicas avanzadas que impidan que los ataques lleguen a los empleados, de ahí que los incidentes de seguridad puedan ser más costosos hasta el punto de poner a prueba la sostenibilidad del negocio”.
El factor humano, es decir, la curiosidad o la confianza que lleva a las personas a caer en una trampa, pese a tener la mejor de las intenciones, sigue siendo algo explotando reiteradamente por los ciberdelincuentes. Al respecto, el informe Voice of the CISO 2023 de Proofpoint revela que el 65% de los CISOs en España considera el error humano como su principal problema de ciberseguridad.
Sin embargo, cuando se trata de protección contra el factor humano, muy pocas empresas valoran lo suficiente la capacitación de los empleados como para fortalecer su resistencia a las tácticas de ingeniería social; y “sin un mayor nivel de concienciación sobre ciberseguridad, siempre habrá alguien que haga clic en un enlace malicioso”, asevera David Imoisli, de Proofpoint.
Estas formaciones sobre amenazas deben diseñarse como un componente crítico dentro de la estrategia de las organizaciones, y no simplemente como un curso más que hacer por los empleados, de modo que estos se vuelvan cada vez menos impulsivos y que incluso los profesionales más presionados puedan tomarse el tiempo para detectar las características de un ataque de ingeniería social.
Para los expertos en ciberseguridad, este programa integral de capacitación y concienciación tiene que ser el núcleo de la ciberdefensa de una organización. El aprendizaje debe ser fluido, integral y escalable, incluyendo temáticas desde las motivaciones y los mecanismos de las amenazas hasta la comprensión de comportamientos simples, como la reutilización de contraseñas o una protección de datos inadecuada, que aumentan el éxito de un ataque. Esto conseguirá crear una cultura de seguridad extensible a toda la empresa.
Cuando cada empleado asuma su parte de responsabilidad en la seguridad de su propia organización, podrán verse los beneficios de este necesario cambio de mentalidad. Para ayudar a ello y prepararse ante ataques, conviene tomar asimismo estas medidas:
Lo ideal es abogar por una política de seguridad que combine tecnología y personas.
FUENTE: Martorell Delgado, Sergio. »El papel de las personas en la seguridad corporativa y cómo se debe actuar» Larazon.es. 19/01/2024. (https://www.larazon.es/emergente/papel-personas-seguridad-corporativa-como-debe-actuar_2024011965aa198dd8aa250001c9ba8d.html).