Los empleados causan el 22% de las violaciones de datos: el papel vital de la formación

En el 2022, un estudio publicado por el Foro Económico Mundial reveló que el 95% de las brechas de seguridad en las empresas eran causadas por errores humanos, con los propios empleados siendo responsables del 22% de los ataques en el caso de las pymes. A mediados del año pasado, Verizon ubicaba la cifra en un 74%, demostrando que, aunque se han visto mejoras, las medidas no serían suficiente.

Y es que, al contrario de lo que muchos creen, el principal objetivo de los cibercriminales no son las grandes empresas, sino los negocios de menor tamaño, que se enfrentan a distintas limitantes al momento de formar al personal adecuadamente, así como de implementar medidas de seguridad apropiadas.

Los errores más comunes

Estas limitantes no son problemas concretos, sino que engloban una serie de malas prácticas que rara vez se ven en las empresas de mayor tamaño.

Algunas de estas pueden incluir un mal mantenimiento de los equipos, el cambio de las contraseñas por credenciales de acceso menos seguras, desconocimiento sobre las estrategias de ingeniería social, e incluso conectar dispositivos propios a los equipos de la empresa, lo que puede resultar en una infección.

Las falencias de seguridad no solo se presentan en el personal que utiliza los equipos de la empresa, sino incluso a los encargados de la seguridad o limpieza de las instalaciones. Por ejemplo, la falta de políticas claras sobre el acceso a las instalaciones puede dar como resultado el ingreso de personas no autorizadas capaces de generar daño a la empresa.

La formación como herramienta de prevención

Si bien esto no se soluciona con una sola medida, lo cierto es que la formación en materia de protección de datos y ciberseguridad tiene el potencial de disminuir significativamente los errores humanos en el manejo de información.

Esta formación no debe verse como cursos aislados que los empleados deben tomar periódicamente, sino como programas bien diseñados para cubrir todas las bases necesarias. Algunas de las características que debe tener todo plan de seguridad incluyen:

• Diseñar políticas de seguridad como parte del proceso de inducción a la cultura de la empresa.

• Proporcionar cursos sobre ciberseguridad y hacer seguimiento constante acerca del conocimiento que poseen los empleados.

• Crear protocolos y asegurarse de que estos se cumplan.

• Contratar expertos en la materia para que no solo refuercen los conocimientos, sino que incluso los pongan a prueba de manera encubierta.

• Incentivar la ciberseguridad como una práctica no solo dentro de la empresa, sino en la vida privada.

• Castigar incumplimientos de protocolo de manera severa, a modo de que estos errores no vuelvan a cometerse.

¿Y cuándo la formación no alcanza?

Aunque la formación pueda implementarse como requisito para trabajar dentro de la empresa, lo cierto es que el error humano seguirá existiendo, aunque en menor manera. Esto significa que deben tomarse medidas adicionales que limiten aún más las posibilidades de que la empresa sufra violaciones de datos.

El primer paso siempre será la instalación de sistemas de seguridad para empresas, ya que estos no solo permiten monitorear quienes entran en las instalaciones, sino también las actividades de todas las personas que se encuentren dentro de las mismas. 

Estos pueden ir desde cámaras de seguridad y cerraduras electrónicas, hasta intercomunicadores con video y sistemas de control de acceso con credenciales personalizadas para cada empleado.

Adicionalmente, el uso de equipos debe seguir protocolos estrictos que no solo involucren al empleado, sino a la gerencia. Esto incluye la actualización del software de seguridad, el apagado de los equipos mientras no se encuentren en uso, la creación de copias de seguridad frecuentes, prohibir la conexión de dispositivos personales a los terminales de la empresa, entre otros.

Si bien una violación de datos puede significar un golpe económico fuerte para las empresas de mayor tamaño, puede tratarse de un evento devastador para los pequeños y medianos negocios. Por eso no debe verse como un aspecto más de la rutina de las empresas, sino como una pieza clave de las políticas de la misma.