09 marzo 2023

El personal, éxito o fracaso ante un ciberataque

Cuando se leen noticias sobre ciberataques informáticos perpetrados en empresas, sean del tamaño que sean, sector, ubicación, etc. siempre pensamos en adoptar medidas de protección como firewalls, antivirus, etc pero casi nunca se piensa en que el personal de la empresa es el eslabón más débil en este tema. Podemos instalar los equipos y programas más sofisticados que queramos, pero hay que pensar en que las personas son las que hacen el último “CLIK” y ahí se abre la puerta a los ciberdelincuentes.


La información empresarial se procesa fundamentalmente desde el puesto de trabajo, ya sea desde dispositivos tecnológicos o de la forma más tradicional, en papel, por teléfono, etc. De ahí la importancia de concienciar a los empleados y exigir el cumplimiento de ciertas normas para preservar la seguridad en, y desde, su puesto de trabajo. 


Por una parte el empleado debe conocer los riesgos no tecnológicos, por ejemplo: 

  • Información en papel al alcance de personas no autorizadas
  • La falta de confidencialidad de los medios de comunicación tradicionales
  • El peligro de robo o extravío de los dispositivos extraíbles (pendrives, discos duros externos, etc.);
  • El acceso físico de terceras personas a las zonas de trabajo (repartidores, personal de limpieza, etc.).


Por otra parte en muchos puestos de trabajo se tiene acceso a ordenadores, dispositivos móviles y portátiles con conexión a la red de la empresa y al exterior (internet). Son pues una «puerta de entrada» a la empresa y a sus recursos de información. Es esencial preparar a los empleados para evitar incidentes que puedan iniciarse en su puesto de trabajo, acentuados por desconocimiento o por falta de preparación:

  • Accesos no autorizados a los ordenadores y desde ellos a aplicativos y documentos de la empresa
  • Infecciones por malware
  • Robo y fuga de datos en formato digital;
  • Ataques de ingeniería social, ransomware, phishing, etc. Es decir, engaños para manipular a la víctima para obtener información como credenciales, información confidencial, etc o conseguir que realice alguna acción como descargar e instalar un programa, enviar algunos correos, hacer algún ingreso, etc.


Para garantizar un uso adecuado de los dispositivos y medios del entorno de trabajo, y minimizar el impacto que todos estos riesgos pueden tener en la empresa, es necesario implantar una política de protección del puesto de trabajo así como las herramientas necesarias para que puedan realizar sus tareas diarias de forma segura. La empresa debe facilitar a los empleados las obligaciones y buenas prácticas en materia de seguridad que deban aplicar a su puesto de trabajo. Esta normativa debe ser aceptada y firmada por los empleados en su incorporación a la empresa, así como estar siempre disponible y recordar su aplicación de manera periódica. 

Sólo reforzando el conocimiento de los empleados en materia de seguridad conseguiremos que los equipos y software implantado en la empresa multipliquen su efectividad y así minimizar los riesgos a ser víctimas de un ataque en nuestra empresa.

Fuente: INCIBE


No hay comentarios:

Publicar un comentario