Los datos corporativos críticos están en riesgo en España, debido a que las organizaciones españolas centran sus políticas y recursos de seguridad en la defensa frente a las amenazas externas (como los hackers y los ciber-criminales) y no lo suficiente en las propias amenazas internas. Así se desprende del último estudio de Seguridad de Cisco -basado en encuestas a más de 1.000 empleados de organizaciones españolas- que desvela dos conclusiones fundamentales y que ha sido presentado a los medios de comunicación especializados por Eutimio Fernández, director de Seguridad en Cisco España
Por un lado, el comportamiento de los trabajadores constituye un débil eslabón en la cadena de ciber-seguridad, convirtiéndose en una creciente fuente de riesgos que se debe más a la falta de conciencia y al desconocimiento que a la malevolencia; los empleados esperan que los mecanismos de seguridad implementados por la empresa se ocupen de todo, y tampoco son conscientes del verdadero peligro de las amenazas.
Por otro, un creciente número de empleados creen que las políticas de seguridad están frenando la innovación y la colaboración, complicando el correcto desempeño de sus tareas; y, como consecuencia, algunos trabajadores deciden saltarse dichas políticas de seguridad.
Hacktivismo y el comportamiento de los usuarios, principales riesgos
Los trabajadores identifican su propio comportamiento como el segundo mayor riesgo para la seguridad de los datos corporativos (48 por ciento de los encuestados), únicamente precedido por la actividad de los hackers (52 por ciento).
En este sentido, todos los empleados consultados utilizan la red corporativa para realizar transacciones personales, como gestiones de sus cuentas bancarias (86 por ciento), compras on line (69 por ciento), reservas de viajes (54 por ciento) o redes sociales (43 por ciento).
Como señala Eutimio Fernández “el estudio confirma los complejos retos de seguridad TI a los que se enfrentan las organizaciones. Aunque la mayoría de trabajadores reconocen que la amenaza de los ciber-criminales es real y requiere una defensa continua, el usuario es el eslabón más débil de la cadena y está incrementando los riegos para las empresas españolas. Un trabajador que confía ciegamente en los mecanismos de seguridad facilita distintas puertas de entrada hacia los datos corporativos confidenciales”.
Falta de conciencia y desconocimiento
Según el estudio, la mayor amenaza interna para las organizaciones es consecuencia de la relajación de los empleados, quienes asumen que la empresa protegerá sus actividades on line. Así, el 39 por ciento de los trabajadores españoles encuestados esperan que los mecanismos de seguridad implementados les protejan frente a cualquier riesgo, mientras menos de la mitad (el 45 por ciento) creen que mantener a salvo los datos personales y corporativos es también su responsabilidad. Igualmente, casi cinco de cada seis consultados (el 58 por ciento) se sienten tan ajenos al verdadero alcance de las amenazas que piensan que su comportamiento tiene un impacto de mínimo a moderado en la seguridad.
Las políticas de seguridad tampoco tienen el rigor necesario. Mientras el 58 por ciento de los empleados creen que su compañía cuenta con una política de seguridad que regula las conexiones, el 24 por ciento lo niega y casi dos de cada diez (el 18 por ciento) no saben si existe
La mitad de los consultados (el 49 por ciento) afirman que dicha política no les afecta en su trabajo, y un 41 por ciento sólo se dan cuenta de que existe cuando los mecanismos de seguridad evitan que realicen alguna acción. Como resultado, cuatro de cada diez encuestados admiten un escaso o moderado respaldo a las políticas de seguridad implementadas, aunque el 23 por ciento dicen ser más rigurosos con la seguridad en el trabajo que en casa (17 por ciento).
Además y sorprendentemente, el 77 por ciento de los trabajadores consultados no son conscientes de las amenazas de seguridad más conocidas, como Heartbleed. Así, el 40 por ciento no han cambiado su actitud tras haber sido afectados por una brecha de seguridad y el 43 por ciento admiten que aún no utilizan distintas contraseñas para cada sitio o aplicación.
Freno a la innovación y la colaboración
Cada vez más, los trabajadores españoles consideran la seguridad como una barrera en lugar de un facilitador de negocio. El informe desvela que el 12 por ciento creen que la seguridad TI está frenando la innovación y complicando la colaboración, mientras el 15 por ciento consideran que dificulta su trabajo. Uno de cada seis (el 16 por ciento) creen que perder una oportunidad de negocio tiene un coste mayor para la empresa de lo que podría suponer una brecha de seguridad.
De esta forma, los resultados del informe indican que las estrategias de seguridad TI implementadas en la actualidad no se corresponden con la forma en que los trabajadores quieren desempeñar sus tareas. “Los empleados creen que las actuales políticas de seguridad deben cambiar para que las empresas puedan impulsar la innovación y facilitar la colaboración, reforzando a su vez la seguridad de la red corporativa, los dispositivos y el Cloud frente a ataques externos”, continúa el responsable de Cisco.
Es así como la balanza entre facilidad de operación y protección requiere una nueva aproximación hacia la seguridad TI, “capaz de adaptarse al comportamiento de los usuarios y basada en la mayor visibilidad, en el foco en las amenazas y en la simplicidad a la hora de gestionar distintas soluciones de forma unificada”.
Políticas centradas en los usuarios
Como parte del estudio, Cisco ha identificado cuatro perfiles diferentes de comportamiento frente a la seguridad TI en España, que podrían servir como base para establecer estrategias centradas en el comportamiento de los trabajadores. Cada uno de estos perfiles representa un nivel de riesgo distinto para la seguridad de los datos corporativos, y requiere una aproximación específica. Los cuatro perfiles son:
- Conscientes de las amenazas: aquellos empleados que son conscientes de los riegos de seguridad y que intentan mantenerse seguros on line rigurosamente.
- Bienintencionados: los trabajadores que tratan de cumplir las políticas de seguridad pero no lo hacen con constancia.
- Con falta de conciencia: aquellos que esperan que la empresa se ocupe completamente del entramado de seguridad y no asumen ninguna responsabilidad personal para proteger los datos corporativos.
- Aescépticos: quienes creen que las amenazas a la ciber-seguridad están sobreestimadas y que los mecanismos implementados inhiben su rendimiento, saltándose las políticas como consecuencia.
La creación de políticas centradas en los usuarios implica que las organizaciones adopten una estrategia de seguridad automatizada y gestionada centralmente, en lugar de apoyarse en los tradicionales procedimientos puntuales. Esta tendencia, impulsada por la movilidad empresarial y la mayor demanda de procesos colaborativos y de acceso a la información, permitiría a los departamentos de TI establecer protocolos específicos en función de los usuarios y proteger todos los dispositivos que utilizan en su trabajo. Dichas políticas de seguridad más ‘receptivas’ deberían a su vez ayudar a los negocios a ser más ágiles, además de seguir proporcionando la mejor defensa posible frente a los ataques externos
Como sentencia Fernández, “aunque la mayor información y educación de los usuarios ayudaría, no es suficiente para superar la cultura de relajación ante las políticas de seguridad que desvela el estudio. Mientras los empleados sigan creyendo que la seguridad TI dificulta su trabajo o no sean conscientes de los riesgos que implica su comportamiento, los responsables de TI deberán establecer políticas de seguridad más centradas en el perfil de los usuarios para tratar de evitar la pérdida de datos corporativos y sus costosas consecuencias”.