El informe de Kaspersky “El Bienestar de los Empleados 2021” revela que, si bien las organizaciones se enfrentan regularmente a la fuga de datos de los empleados mexicanos, más de la mitad de ellos (67%) prefiere no divulgar estos incidentes públicamente. Al mismo tiempo, el personal puede carecer de conocimientos básicos de ciberseguridad para protegerse, ya que sólo el 41% de las empresas ofrece capacitación en seguridad informática.
Una ciberdefensa corporativa exitosa es imposible sin que los empleados de todos los niveles unan sus fuerzas. La tecnología es importante para prevenir ciberataques, pero los factores humanos siguen desempeñando un papel crucial, pues están relacionados con el 85% de los incidentes. La encuesta global de Kaspersky a los responsables de la toma de decisiones empresariales de TI proporciona información sobre qué tan bien las organizaciones y los trabajadores colaboran y se protegen a sí mismos, a sus clientes y entre ellos.
Nota relacionada: Cinco recomendaciones para evitar que empleados provoquen un ataque de ransomware
A pesar de que los casos más prominentes de violaciones de datos se relacionan principalmente con el robo de información de los clientes, los datos personales de los empleados también son muy populares entre los ciberdelincuentes.
En 2021, 41% de las organizaciones mexicanas no pudo resguardar adecuadamente los datos de sus trabajadores y enfrentaron incidentes relacionados con este tipo de información. Según la encuesta, este problema solo es superado por los datos de identificación personal de los clientes (43%).
El hecho de que el 67% de las organizaciones afectadas en México no hayan revelado públicamente una violación de los datos personales de los empleados es una señal de que el problema es más grande de lo que parece. En cuanto al resto, el 17% ha compartido información sobre un incidente de forma proactiva y el 16% lo ha hecho después de haberse filtrado a los medios. Esto muestra que este tipo de filtración es el que se divulga con menos frecuencia, en comparación con las filtraciones de datos corporativos o de clientes.
“Cuando una organización enfrenta un incidente cibernético, las comunicaciones correctas en la crisis no son menos importantes que las medidas que se toman como respuesta y recuperación. Siempre existen riesgos de filtraciones de datos y las empresas deben reconocer que la divulgación proactiva es preferible a ponerlo al descubierto en la prensa”, comenta Evgeniya Naumova, vicepresidenta ejecutiva de Negocios Corporativos en Kaspersky. “Sin embargo, las comunicaciones apropiadas, precisas y oportunas no sólo minimizan el daño potencial a la reputación, sino que también pueden mitigar en gran medida las pérdidas financieras directas. Para evitar el pánico o la confusión, una empresa debe considerar la creación de un plan claro de crisis y capacitar a los empleados con anticipación. Los profesionales de las comunicaciones corporativas y los equipos de seguridad de TI deben colaborar para intercambiar información sobre conocimientos de ciberseguridad y determinar guías, herramientas, canales y lenguaje que podrían ser útiles para manejar con precisión las comunicaciones internas y externas en caso de emergencia”, continúa.
La falta de conocimiento externo sobre posibles incidentes de ciberseguridad generalmente no se mitiga con esfuerzos internos. Según la investigación, solo el 41% de las organizaciones en México ya ha implementado educación y capacitación en seguridad para garantizar que los empleados reciban información crucial. Además, más de la mitad (58%) de esas empresas ha experimentado al menos un problema relacionado con la calidad de estos servicios. Esto incluye insatisfacción con la complejidad de los cursos y la falta de apoyo o experiencia por parte del proveedor de la capacitación.
No se puede esperar que los empleados a los que no se les haya proporcionado el conocimiento básico sobre la importancia de las medidas de protección sigan las reglas. Este año, el cumplimiento por parte del personal y lidiar con una cultura de seguridad insuficiente por parte del usuario final figuró entre las tres mayores preocupaciones para las empresas en lo que respecta a la seguridad informática: el 43% de los encuestados lo citó entre los problemas más alarmantes. En la práctica, las empresas enfrentan regularmente infracciones de seguridad de la información (36%), uso inadecuado de recursos de TI (36%) e intercambio inadecuado de datos a través de dispositivos móviles (32%).
La prevención de infracciones requiere una acción concertada por parte de todos los que interactúan con un sistema corporativo y podría ser un objetivo potencial para los atacantes. Para proteger mejor a los empleados, las empresas deben combinar medidas de protección fiables con el mantenimiento de la conciencia de seguridad entre sus equipos. Esto incluye:
- Garantizar la pronta aplicación de parches y actualizaciones de software para evitar que los adversarios penetren en el sistema.
- Implementar cifrado de alto grado para datos confidenciales y aplicación de credenciales sólidas y autenticación multifactorial.
- Usar protección eficaz para endpoints con capacidades de respuesta y detección de amenazas para bloquear los intentos de acceso, y servicios de protección administrada para investigar eficientemente los ataques y responder de manera adecuada.
- Minimizar el número de personas que tienen acceso a datos cruciales. Las violaciones son más probables en organizaciones donde demasiados empleados trabajan con información confidencial y valiosa que se puede vender o utilizar de alguna manera.
- Equipar a sus empleados con las habilidades de ciberseguridad que necesitan. Enseñarles presentando toda la información necesaria y actualizada en un formato atractivo. Para ahorrar tiempo y recibir un servicio de calidad, las empresas deben trabajar con proveedores reconocidos a nivel mundial que puedan garantizar un proceso de aprendizaje eficiente.