Vestiga consultores, firma mexicana de consultoría en manejo de riesgos, seguridad corporativa, investigaciones y ciberseguridad, advierte que el mayor punto de vulnerabilidad para la información de las empresas no se encuentra en el exterior, sino dentro de sus propias operaciones.
Aunque existe la creencia generalizada de que los hackers externos son la principal amenaza cibernética, las cifras apuntan en una dirección diferente: el error humano genera 95 % de las violaciones de datos, impulsado por amenazas internas, uso indebido de credenciales y descuidos de los propios usuarios, de acuerdo con un estudio reciente de Mimecast.
Lo que hace esta estadística todavía más relevante para la toma de decisiones al interior de las empresas es su concentración: menos de 10 % del personal suele ser responsable de hasta 80 % de los incidentes de violación o pérdida de información. Esto significa que un grupo reducido de colaboradores (no necesariamente malintencionados) puede comprometer de manera desproporcionada el activo más valioso de cualquier organización: su información. Una realidad que Vestiga examina a fondo en La herramienta más poderosa de la ciberseguridad: cultura interna, donde desarrolla qué implica construir esa cultura y por qué es la defensa más efectiva disponible.
"El error humano no es un problema de tecnología, es un problema de cultura. Las empresas que entienden esto dejan de buscar soluciones únicamente en herramientas y empiezan a construir una primera línea de defensa real: su gente", señala Sergio Díaz, socio director de Vestiga Consultores.
Este panorama se agrava cuando se considera la escasez de talento especializado en ciberseguridad. Según estimaciones de Gartner, 80 % de las brechas de seguridad en los sistemas empresariales resulta de configuraciones erróneas y esto ocurre en gran parte porque más del 80 % de las empresas no cuenta con el personal calificado para gestionarlas correctamente. Frente a esa realidad, la incorporación de herramientas automatizadas con inteligencia artificial permite compensar esa carencia y liberar al personal técnico existente para tareas de mayor valor estratégico.
Pero la tecnología sola tampoco es suficiente. Deloitte señala que 82 % de las infracciones de seguridad involucra un elemento humano y el FBI estima que uno de cada dos incidentes de fuga de información tiene origen en la negligencia de los empleados. Capacitar al personal, promover contraseñas seguras, implementar autenticación de dos factores, establecer políticas claras de control de accesos y fomentar una cultura donde reportar actividades sospechosas sea parte del día a día: estas acciones no son opcionales, son la base sobre la que se construye cualquier sistema de ciberseguridad funcional y sostenible. Un enfoque práctico que se explica paso a paso en el newsletter Comenzando a crear un sistema de ciberseguridad, desde cómo priorizarlas hasta cómo implementarlas según la madurez digital de cada organización.
A estos riesgos internos se suma una amenaza que se ha identificado como creciente y particularmente dañina: la suplantación del nombre e identidad de las empresas. En este tipo de fraude, terceros utilizan el nombre, logotipos, cuentas bancarias enmascaradas, correos electrónicos y hasta documentos internos de una organización para engañar a sus clientes, proveedores y colaboradores. La firma ha podido confirmar, a través de sus propios clientes y de representantes de diversas cámaras empresariales, que este patrón afecta a empresas de todos los tamaños y sectores y que puede derivarse tanto de información sustraída desde adentro como de ataques externos sin ninguna complicidad interna.
"La suplantación de identidad empresarial ya no es un riesgo marginal. Las implicaciones legales, económicas y reputacionales pueden ser de largo alcance y muchas empresas no lo detectan a tiempo porque no tienen un esquema de monitoreo activo. El primer paso es tomar conciencia de que esto puede pasarles", enfatiza Sergio Díaz.
Ante este escenario, Vestiga recomienda una estrategia que combina protección legal de marca (incluyendo el registro ante el IMPI y la vigilancia activa de dominios y redes sociales), medidas técnicas como autenticación multifactorial y cifrado de datos, capacitación continua del personal para detectar phishing e ingeniería social y la implementación de un plan de respuesta ante incidentes que contemple la notificación a autoridades e instituciones financieras. Las acciones concretas para ejecutar cada frente se detallan en el análisis Crimen al alza: la suplantación del nombre e identidad de empresas.
En un entorno empresarial donde las amenazas cibernéticas evolucionan más rápido que los protocolos para enfrentarlas, desarrollar una cultura de ciberseguridad sólida ha dejado de ser una ventaja competitiva para convertirse en una condición de supervivencia. La seguridad digital debe ser una responsabilidad compartida en todos los niveles de la organización y un hábito diario, no una reacción ante la crisis.
Publicado por: TuDecides.com.mx
Edición: Adrián Soltero
Contacto: dir@tudecides.com.mx
Nota: Por lo general todos los artículos cuentan con fuente y autor del mismo. Si por alguna razón no se encuentra, lo hemos omitido por error o fue escrito por la redacción de TuDecides.com.mx.
