En el sector de la ciberseguridad hay una frase que se repite constantemente: “El empleado es el eslabón más débil”, ya que elige mal sus contraseñas, las deja visibles, no las cambia, cae más fácilmente en el phishing… Pero, ¿es realmente así? ¿De verdad es el empleado la mayor puerta de entrada de un ciberataque? Y si así fuera, ¿es culpa suya? Eso es precisamente lo que analizamos en el capítulo 18 de Trabaja en Ciberseguridad.
El empleado es la puerta de entrada del cibercrimen…
Vayamos por partes: ¿es el empleado la mayor puerta de entrada del cibercrimen? Los datos nos dicen que sí. De hecho, hasta tres datos distintos: el informe An integrated approach to insider threat protection, de IBM; el International Trends in Cybersecurity, de Azure; y el The Global State of Information Security Survey 2018, de PwC.
Los CISOs de las empresas ahondan en este sentido. En una encuesta realizada por Proofpoint, la mayoría de CISOs de diversos países aseguran que los empleados son su mayor vulnerabilidad de ciberseguridad. España, de hecho, es el cuarto país en el que más directivos tienen esta opinión.
La preocupación va hasta tal punto que, según un informe de EY, los empleados de una empresa son un riesgo de ciberseguridad incluso mayor que los controles de seguridad obsoletos o los accesos no autorizados.
… pero no tiene la culpa de los ciberataques
Vale, ya sabemos que los empleados son la mayor puerta de entrada del cibercrimen. Ahora bien, ¿de verdad son ellos los culpables de un ciberataque? Afirmar eso, como poco, es injusto. Sobre todo si tenemos en cuenta varios datos que no dejan a sus empresas precisamente en un buen lugar.
Empecemos por un dato que ya suena bastante fuerte: una investigación de Varonis reveló que cada empleado de una gran empresa, de media, tiene acceso a 11 millones de archivos de su propia compañía. Resulta difícil pensar que eso sea culpa de dicho empleado. No parece un buen comienzo, ¿verdad? Pues la cosa puede empeorar: el 39,29% de las empresas tienen más de 10.000 documentos confidenciales accesibles para todos sus trabajadores. Eso tampoco parece una culpa que puedas echarle a un subordinado.
Y espera, que esto no ha terminado: cerca del 60% de las empresas tienen más de 500 cuentas con contraseñas que nunca caducan. ¿También es eso culpa del empleado?
En este punto, además, conviene rescatar un gráfico que ya te mostramos la semana pasada : según un informe de The Cocktail y Google, el 20% de las pymes españoles subcontratan su ciberseguridad a un familiar o amigo, mientras que el 12% no se la contrata absolutamente a nadie.
Y de aquellos barros llegan estos lodos. El mismo informe revela unos datos pavorosos cuando se les pregunta a las empresas si sus empleados sabrían hacer frente a amenazas como las estafas o el phishing.
Como vemos, el panorama real es muy distinto a como normalmente se nos cuenta. No sabemos si los empleados son el eslabón más débil de la cadena de la ciberseguridad, quizá sea así. Pero hay una cosa segura: la culpa no es suya.