Tres de cada cuatro empleados representan un riesgo de seguridad

La investigación también concluyó que los empleados en puestos gerenciales muestran peor manejo de correo maliciosos que los empleados en puestos bajos y medios

A pesar de los importantes esfuerzos realizados por muchas organizaciones estadounidenses para concientizar a sus empleados en temas de seguridad de la información, una reciente investigación muestra que aún faltan muchas áreas por reforzar.

Según el informe anual sobre el estado de la privacidad y la seguridad de una firma de ciberseguridad y forense digital, el 75% de los empleados encuestados presenta un riesgo moderado o grave para la seguridad de datos de su organización, mientras que el 85% de los trabajadores de áreas financieras muestran cierta falta de información sobre seguridad de datos y privacidad.

Tom Pendergast especialista en forense digital a cargo de la investigación, menciona que fueron encuestados más de mil empleados de compañías en Estados Unidos para cuantificar el estado de privacidad y conciencia de seguridad en 2018. Este año, el número de personas consideradas como un riesgo para la seguridad de sus organizaciones incrementó de manera considerable respecto al último informe elaborado por la firma el año pasado.

“En general, los resultados muestran una tendencia poco satisfactoria, pues los encuestados obtuvieron peores resultados en todos los ámbitos en comparación con el año anterior”, dice Pendergast. “Aún así, me sorprendería que en cinco años no hubiera una mejora significativa. Hay una creciente conciencia cultural y empresarial sobre la necesidad de cubrir la privacidad de la información”, menciona el experto.

La firma basó su estudio en una variedad de preguntas basadas en casos reales, como la correcta identificación de información personal, conexión a WiFi público, y detección de emails de phishing. A partir de las respuestas obtenidas, los encuestados fueron divididos en tres categorías de riesgo: riesgoso, novato y heroico.

Entre los principales hallazgos de la investigación se encuentran:

  • El desempeño de los encuestados fue peor este año en todas las categorías que fueron medidas. Los encuestados calificaron de forma insatisfactoria en la identificación de malware, correos de phishing y riesgos en el uso de redes sociales
  • Los gerentes mostraron hábitos más riesgosos que los empleados operativos en las categorías de identificación de malware y correos maliciosos. Sólo el 69% de los gerentes respondió de forma correcta, en contraste del 86% de los empleados de nivel inferior
  • De los siete sectores industriales encuestados, los empleados en áreas de finanzas obtuvieron los puntajes más bajos. El 85% mostró una preocupante falta de conocimiento en ciberseguridad y protección de datos
  • El 14% del total de empleados encuestados no pueden identificar emails de phishing

Para los especialistas en forense digital del Instituto Internacional de Seguridad Cibernética, este 14% es más que suficiente para que un atacante encuentre una vía para atacar a una organización, ya que un solo error es más que suficiente para dejar entrar malware a la estructura de una empresa. Sólo se necesita que una persona haga clic en el lugar incorrecto para que esta amenaza entre en la organización. Si esto sucede, la información de todos los que ahí laboran se verá comprometida.