Seguridad en la empresa: análisis del comportamiento no consciente de los empleados

Ciberseguridad: el personal de las empresas es el eslabón más débil

Investigación llevada a cabo por ESERP, ITH, DataSeekers y Cuadernos de Seguridad

Publicada 14/12/18 -Actualizada 10/01/19 02:00h
Ciberseguridad: el personal de las empresas es el eslabón más débil
  • Falta de información, baja percepción del riesgo y que vayan por delante de la prevención hacen que los ciberataques sean amenaza constante
  • Usar internet sin protocolos de seguridad, consultar el correo personal y redes sociales desde la empresa o descargar archivos abren brechas
  • Los empleados son muchas veces responsables de esas brechas de seguridad por trasladar sus comportamientos y hábitos a su lugar de trabajo

El turismo es el tercer sector más amenazado por la ciberdelincuencia, según ha confirmado Patricia Miralles, responsable de Innovación del ITH (Instituto Tecnológico Hotelero). No en vano los incidentes de seguridad digital alcanzaron los 120.000 en 2017, 10 veces más que sólo tres años antes, como publicó HOSTELTUR noticias de turismo. Sin embargo el eslabón más débil de la cadena de seguridad las empresas lo tienen dentro de casa, pues es el propio empleado por sus “comportamientos no adecuados”, según se ha constatado en el informe elaborado al respecto por el Observatorio de Investigación de ESERP Business School, en colaboración con el ITH, DataSeekers y Cuadernos de Seguridad.

La delincuencia informática se configura actualmente como uno de los grandes problemas de seguridad a nivel internacional. La falta de información, la baja percepción del riesgo por parte de las empresas, organizaciones y usuarios, unidas al hecho de que la comisión del delito vaya, en muchas ocasiones, un paso por delante de los avances realizados en materia de prevención, convierten los ciberataques en una amenaza constante en un entorno cada vez más tecnológico.

Prácticas habituales dentro de las empresas como el uso de internet sin protocolos de seguridad mínimos como la utilización de antivirus, firewalls o la actualización de sistemas pueden poner en riesgo la seguridad de una organización. A ello se añaden gestos tan habituales como la consulta de la cuenta de correo personal y de las redes sociales desde el equipo de la organización, la descarga de archivos ilegales, o acceder a los servicios de la empresa desde los dispositivos personales.

Todas estas acciones abren brechas de seguridad para las que hoy en día muchas compañías no están preparadas y de las que el empleado todavía no es consciente. Especialmente, según se ha reflejado en el informe, los trabajadores en prácticas, que son los que con mayor frecuencia ponen en peligro a la empresa difundiendo información sobre ella, visitando sus redes sociales desde los dispositivos de la compañía y compartiendo claves.

Los miembros del equipo de investigación de ESERP y el ITH que han participado en el análisis del comportamiento no consciente de los empleados en las empresas en temas de ciberseguridad.

Este problema afecta a todo tipo de empresas, tanto grandes como pequeñas, y se debe a una falta de formación y al amplio desconocimiento existente entre los empleados, a pesar de mostrar cierta sensibilidad por lo que está ocurriendo en todo el mundo y en cualquier ámbito.

La responsable de la investigación, Luisa Fanjul, ha hecho hincapié en que son ellos “los responsables de lo que está ocurriendo, por trasladar sus comportamientos y hábitos a su lugar de trabajo. Obviamente no buscan atacar de manera deliberada a su empresa, sino que esos hábitos de comunicación presentes en su vida los trasladan luego a su puesto de trabajo”.

Son, como los ha definido Fanjul, “comportamientos no conscientes ni deliberados pero que abren brechas de seguridad en la empresa por su falta de formación y a pesar de esa sensibilidad que muestran hacia la ciberseguridad”.

Y ha puesto ejemplos, detectados tras la investigación, como que el 24% de los encuestados comparte sus claves de acceso, o que el 33% habla de temas sensibles de su empresa fuera de ella en el ámbito offline.

Gamificación con juegos de realidad alternativa

Por ello considera que “formar al personal sobre cuáles de sus hábitos no debe trasladar a su lugar de trabajo mejoraría sin duda la ciberseguridad”. En este sentido los responsables de la investigación, como ha explicado Fanjul, lanzan “una propuesta novedosa: formar y sensibilizar a esos empleados de una forma divertida con una estrategia de gamificación basada en ARG, juegos de realidad alternativa en los que el empleado que participa no sabe si está jugando o no”.

A ello también suman “mini ciberjuegos, sólo como una muestra de lo que se puede hacer adaptando la ludificación a cualquier tipo de empresa”.

Éste es el segundo estudio que estos socios realizan en colaboración con el ITH, tras analizar todas las áreas de una empresa que podían verse afectadas por estos ciberataques. Y para el próximo, según ha avanzado Miralles, van a investigar “si los empresarios están invirtiendo ante esas necesidades que hemos detectado; si son conscientes de que tienen que invertir, no sólo en tecnología sino también en formación porque la tecnología va más rápido que nosotros”.

Infografía que recoge los principales resultados de la investigación.

Para comentar, así como para ver ciertos contenidos de Hosteltur, inicia sesión o crea tu cuenta

Inicia sesión
Comentarios 0

Esta noticia no tiene comentarios.