Poca capacitación en seguridad digital abre las puertas a los ciberdelincuentes

Por Manuel Moreno*

Dado que el mundo virtual demanda cada vez más sofisticación, los líderes empresariales han iniciado una carrera por adoptar, a pasos acelerados, tecnologías bajo la óptica equivocada de que obtendrán mayores capacidades frente a su competencia. No obstante, sin un análisis previo, están abriendo brechas de seguridad cibernética, ya que la inversión en iniciativas digitales supera, por mucho, la de la protección tanto en soluciones, como en capacitación del personal.

De hecho, el Informe del panorama de amenazas a la seguridad de la identidad 2023, de CyberArk, alerta sobre los altos índices de rotación de personal a consecuencia de las cada vez más complejas estructuras de TI, lo que resultará en un mayor número de ataques.

Y es que cada nueva implementación de Software como servicio (SaaS), adopción de Nube o servicios de terceros, crea nuevos puntos de interacción digital entre personas, herramientas y procesos, que deben ser blindadas con una estrategia de ciberseguridad sólida, basada tanto en soluciones y servicios tecnológicos, como en la capacitación y desarrollo de skills del personal adaptadas a las 75 diferentes aplicaciones que, en promedio, una organización utiliza (CyberArk).

• OPINIÓN: Necesario, apoyar regulación estatal en ciberseguridad

Lo alarmante de esta cifra no es en sí el número total, considerando, incluso, un aumento en los próximos 12 meses, del 68%, es decir, que para 2024 se prevé que cada entorno empresarial maneje 126 aplicaciones basadas en la nube, según dicho informe. El verdadero riesgo radica en el gran porcentaje de esa totalidad que solo admite autenticación basada en contraseña, siendo un punto de entrada fácil para los ciberdelincuentes.

Esto concuerda con el reciente estudio de Fortinet: Capacitación y Concientización de Ciberseguridad de 2023, el cual reporta que, en general, 81% de los ciberataques fueron mediante la suplantación de identidad, descubrimiento de contraseñas e implantación de malware. Particularmente, en Latinoamérica, los ataques más comunes son contra las contraseñas.

De ahí  que es crucial, por un lado, impulsar la autentificación de doble factor en cada una de nuestras aplicaciones empresariales y por otro, centrarse en el desarrollo de habilidades internas y capacitación de la fuerza laboral, en lugar de fomentar la rotación de personal en busca de perfiles que no terminan de ser los idóneos, considerando que día a día se siguen adoptando nuevas tecnologías.

Las salidas y las entradas de candidatos y las inconformidades laborales son también un riesgo de ciberseguridad a evaluar. CyberArk identifica áreas de peligro internas que no se contemplan como una prioridad en el desarrollo de una estrategia de Seguridad Digital y que pueden ser el detonante exitoso de un ciberataque:

• Fuga de información confidencial proveniente de empleados, exempleados y proveedores externos. Por ejemplo, 58% de las empresas reporta usuarios que salen y guardan documentos de trabajo sensibles o confidenciales.
• Identidades y acceso a aplicaciones sin protección o con rotación constante, ya que cada vez que un empleado se va, el equipo de TI debe eliminar los permisos de acceso de las diversas aplicaciones que utilizaron. Además, debido a la creciente complejidad de TI, 62 % de los equipos de seguridad operan con limitaciones de visibilidad para verificar quién está accediendo a datos y activos confidenciales.
• La constante necesidad de actualización de software para intentar ganar velocidad y otras ventajas competitivas, sin evaluar la interoperabilidad, lo cual da demasiados privilegios a los desarrolladores, quienes son objetivos altamente atractivos de los ciberatacantes.

• LEE: Escasean los profesionales en ciberseguridad

En conclusión, nuestros colaboradores pueden ser el punto más débil o la defensa más poderosa. Todo dependerá, primero, de que las organizaciones asuman como una realidad los riesgos de ciberseguridad; y segundo, que a partir de ello, consideren a su personal como un activo de información que necesita también, atención, visibilidad, protección, skils de defensa, como el conocimiento y la concientización, antes de seguir adoptando de manera acelerada herramientas que demandan más y mayores capacidades tecnológicas.

*Manuel Moreno es Security Sales Enablement Director en IQSEC.

Nota del editor: Este texto pertenece a nuestra sección de Opinión y refleja únicamente la visión del autor, no necesariamente el punto de vista de Alto Nivel.

MÁS NOTICIAS:

• ¿Qué autos no circulan hoy? Restricciones y detalles del 3 de mayo
• Caen ventas de iPhone, pero las ganancias de Apple suben 6% anual
• Presentan primer amparo contra Fondo de Pensiones del Bienestar
• Fed arrastra al dólar debajo de los 17 pesos
• WhatsApp y Facebook, donde más ciberacoso y violencia sufren jóvenes en México

IQSEC Más de 15 años de experiencia brindando soluciones integrales e innovadoras de ciberseguridad e identidad digital.