Hace un unos años, TechRepublic publicó una historia con el siguiente titular: “Los empleados son casi tan peligrosos para las empresas como los piratas informáticos y los ciberdelincuentes”. Desde la perspectiva del negocio, podría pensar que eso es simplemente inexacto. Tu empresa se esfuerza por contratar a las mejores personas que pueda encontrar: personas que son buenas en su trabajo y que nunca soñarían con poner en riesgo a su propio empleador.

Y, sin embargo, muchos empleados lo hacen, y casi siempre sin querer. Sus empleados no están pensando en formas de poner en peligro su red o intentar instalar malware o ransomware en las computadoras de la empresa, pero sucede. Un estudio de Kaspersky encontró que el 52% de las empresas reconocen que sus empleados son “su mayor debilidad en la seguridad de TI”.

¿De dónde viene esta debilidad? Se deriva de varias cosas diferentes y varía de una empresa a otra, pero una gran parte se debe al comportamiento de los empleados.

Error humano

Todos cometemos errores. Desafortunadamente, algunos errores pueden tener consecuencias graves. He aquí un ejemplo: un empleado recibe un correo electrónico de su jefe. El jefe quiere que el empleado compre varias tarjetas de regalo y luego le envíe los códigos de la tarjeta de regalo lo antes posible. El mensaje puede decir: “Te confío esto” y trabajar para generar urgencia dentro del empleado.

El problema es que es falso. Un estafador está usando una dirección de correo electrónico similar a la que podría usar el gerente, supervisor u otro líder de la empresa. Es una estafa de phishing y funciona. Si bien no compromete necesariamente tu seguridad de TI internamente, muestra brechas en el conocimiento de los empleados.

Otro ejemplo habitual, también a través del correo electrónico, es que los ciberdelincuentes envíen archivos o enlaces que instalan malware en los equipos de la empresa. Una vez más, los delincuentes disfrazan el correo electrónico como un mensaje legítimo de alguien dentro de la empresa, un proveedor, un banco u otra empresa con la que el empleado pueda estar familiarizado.

Es esa familiaridad la que puede hacer tropezar a los empleados. Todo lo que los delincuentes tienen que hacer es agregar un sentido de urgencia, y el empleado puede hacer clic en el enlace sin pensarlo más.

Descuido

Esto sucede cuando un empleado hace clic en un enlace sin pensar. Puede deberse a que el empleado no tiene capacitación para identificar correos electrónicos fraudulentos o la empresa podría no tener una seguridad de TI integral.

Política vigente.

Otra forma de descuido son los hábitos de navegación inseguros. Cuando los empleados navegan por la web, ya sea para investigar o cualquier cosa relacionada con su trabajo o para uso personal, siempre deben hacerlo de la manera más segura posible. Dígales a los empleados que eviten navegar a sitios web “malos” y que no hagan clic en ningún enlace que no puedan verificar (como los anuncios).

Los sitios web malos son bastante subjetivos, pero una cosa que cualquier usuario de la web debería buscar es “https” al comienzo de cualquier dirección web. La “s” le indica que el sitio es seguro. Si esa “s” no está allí, el sitio web carece de la seguridad adecuada. Si ingresa datos confidenciales en ese sitio web, como su nombre, dirección de correo electrónico, información de contacto o información financiera, no puede verificar la seguridad de esa información y puede terminar en manos de ciberdelincuentes.

Otro ejemplo de descuido es la mala gestión de contraseñas. Es común que las personas usen contraseñas simples y que usen las mismas contraseñas en varios sitios web. Si sus empleados están haciendo esto, puede poner su negocio en un gran riesgo. Si los piratas informáticos obtienen alguna de esas contraseñas, quién sabe a qué podrían acceder. Una política estricta de contraseñas es imprescindible para todas las empresas.

Convierte la debilidad en fortaleza

La mejor manera de superar la debilidad humana en su seguridad informática es la educación. Una política de seguridad de TI es un buen comienzo, pero debe aplicarse y comprenderse. Los empleados deben saber qué comportamientos son inaceptables, pero también deben ser conscientes de las amenazas que existen. Necesitan recursos con los que puedan contar a medida que surjan amenazas para que puedan ser tratadas adecuadamente. Trabajar con un MSP o una empresa de servicios de TI puede ser la respuesta: pueden ayudarlo a sentar las bases para convertir esta debilidad en una fortaleza.