La principal causa de los incidentes de ciberseguridad no son las acciones maliciosas de los empleados, el sabotaje o la piratería. Es un error de los empleados. El error humano es responsable de aproximadamente el 90% de las brechas de seguridad según el índice de inteligencia de amenazas X-Force de IBM. El campeón reinante de los riesgos de seguridad es algo con lo que todos los equipos de TI se enfrentan a diario. Si bien es imposible eliminar la posibilidad de que los empleados cometan errores, es posible mitigar el riesgo de un desastre de ciberseguridad debido a un error de los empleados.
Estos son los errores más comunes que cometen los empleados y un vistazo a por qué los cometen:
- Abrir un correo electrónico de phishing. El riesgo de suplantación de identidad varía según la industria. Muchos factores pueden afectar el cálculo de la probabilidad exacta de que un empleado sea víctima de un ataque de phishing. A lo largo de los últimos años, hemos visto cómo el riesgo de ciberataque cambia en las industrias en función de factores como la necesidad pública, la presión de producción y la rentabilidad de sus datos. Se estima que el 74% de los encuestados en una encuesta empresarial admitió que sus empresas habían sido víctimas de suplantación de identidad con éxito en el último año.
- Descargar un archivo adjunto poco fiable. Se estima que el 94% del malware todavía se envía por correo electrónico. Se estima que el 48% de los archivos adjuntos de correo electrónico maliciosos que se enviaron en 2020 eran archivos de Office. Los formatos de Microsoft Office como Word, PowerPoint y Excel son extensiones de archivo populares para que los ciberdelincuentes las utilicen cuando transmiten malware por correo electrónico, lo que representa el 38% de los ataques de phishing. El siguiente método de entrega más popular: archivos archivados como .zip y .jar, que representan alrededor del 37% de las transmisiones maliciosas .
- Enviar a alguien el archivo incorrecto. La entrega incorrecta se citó como la causa número cuatro de una violación de datos en el informe de Investigaciones de violación de datos de Verizon de 2021 , en comparación con el número 3 en 2020. Es responsable de alrededor del 30% de las violaciones de datos . Esa entrega incorrecta podría deberse a una transferencia interna, como enviar un archivo a alguien en la organización que no está autorizado para verlo, o debido a una entrega incorrecta fuera de la organización, como enviar información confidencial a los clientes incorrectos en una lista de distribución de correo electrónico.
- Dar a otro empleado sus credenciales de inicio de sesión. Aproximadamente el 60% de las violaciones de datos implican el uso inadecuado de credenciales. Desafortunadamente, los empleados son conocidos por compartir contraseñas , especialmente cuando el curso de su trabajo implica aprobaciones de gerentes rutinarias y que requieren mucho tiempo para tareas mundanas. Se estima que el 40% de los empleados admitió haber compartido contraseñas en el lugar de trabajo en una encuesta de 2021. Peor aún, el 43% de los empleados dijo que su lugar de trabajo comúnmente comparte contraseñas dentro de un grupo grande.
- Escribir una contraseña. Más del 40% de las organizaciones confían en las notas adhesivas para la administración de contraseñas, lo que genera una gran cantidad de riesgos para la seguridad de las contraseñas . Los empleados saben que sus comportamientos con contraseñas incorrectas también son peligrosos, pero eso no los detiene más del 90% de los participantes en una encuesta de hábitos de contraseñas comprendieron el riesgo de una higiene deficiente de contraseñas, pero el 59% admitió seguir participando en comportamientos de contraseñas inseguras como el uso de notas para el almacenamiento de contraseñas de todos modos.
- Caer en una estafa. Las amenazas de correo electrónico sofisticadas y cuidadosamente diseñadas socialmente de hoy en día pueden ser increíblemente atractivas para los empleados, abriendo la puerta al ransomware, el compromiso del correo electrónico empresarial, la toma de control de la cuenta y otras consecuencias peligrosas. Se estima que el 97% de los empleados no pueden identificar un correo electrónico de phishing sofisticado , el método más común que utilizan los delincuentes para estafar a los empleados.
- Hacer clic en un enlace malicioso. Los empleados satisfechos con los clics son un gran riesgo para la seguridad. CyberNews informa que es probable que 1 de cada 3 empleados hace clic en los enlaces de los correos electrónicos de phishing, y que 1 de cada 8 empleados probablemente comparta la información solicitada en un correo electrónico de phishing. En una simulación de phishing, los usuarios de América del Norte fueron los que más lucharon, publicando una tasa de clicks del 25,5% y una tasa general de envío de credenciales del 18%. Esto significa que un poco más de 7 de cada 10 click comprometieron voluntariamente sus datos de inicio de sesión . Los usuarios en Europa exhibieron tasas más bajas de clicks y envíos de 17% y 11%, respectivamente.
- Visitar un sitio web peligroso. Los empleados pasan mucho tiempo en la web estos días en el transcurso de sus actividades comerciales. Todo alojado en la nube se convirtió en la norma, ya que todos se volvieron remotos durante la pandemia global. Pero la capacitación en concientización sobre seguridad no siguió el ritmo, lo que dejó a una gran cantidad de empleados con probabilidades de tomar malas decisiones sobre el inicio de sesión en sitios web incompletos. El 67% de los empleados evaluados en una simulación de phishing que hicieron clic en el sitio web malicioso ficticio enviaron sus credenciales de inicio de sesión, frente a un escaso 2% en 2019.
Factores que aumentan la probabilidad de error de los empleados
Al final del día, mientras los seres humanos trabajen en una empresa, siempre existe la posibilidad de que un empleado cometa un error que afecte negativamente la seguridad. Pero algunas circunstancias dentro de una empresa hacen que los empleados sean más propensos a cometer un error que otras.
Es más probable que los empleados cometan un error si:
- No saben cómo son las amenazas
- Están experimentando estrés, distracción o limitaciones de tiempo indebidas.
- No se sienten seguros al juzgar una amenaza.
- Le tienen miedo a la tecnología
- No saben a quien pedir ayuda
- Temen la pérdida del empleo o la degradación si cometen un error.
- Creen que se reirán de ellos por pedir ayuda
- Temen el castigo como el entrenamiento de recuperación.
- No saben cómo informar un problema.
- Tienen poca o ninguna formación en concienciación sobre seguridad.
- No tienen las herramientas adecuadas para detener un incidente.
- No creen que la seguridad sea importante.
Fuente. ID Agent.