Cuando se trata de cibercrimen, es fácil imaginar que la mayor amenaza para su empresa es externa. Sin embargo, más y más empresas se están dando cuenta de que los empleados de confianza y capacitados también pueden representar una enorme amenaza.
Un reciente informe de Haystax Technology descubrió que el 74% de las organizaciones cuestionadas «se sienten vulnerables a las amenazas internas», con el 56% de los profesionales de seguridad seguros de que «las amenazas internas se han vuelto más frecuentes» durante el año pasado.
Mientras que algunos ataques y violaciones son causados por los empleados malintencionados, muchos también ocurren debido a la negligencia – quizás ignorando una advertencia; No seguir el procedimiento – o un simple error humano.
Hemos identificado tres tipos de empleados que pueden causar una violación de datos.
1. Acciones inocentes
Cuando se trata de incumplimiento de los datos, los trabajadores inocentes pueden causar tanto daño como los piratas informáticos malintencionados; Una lección aprendida por las autoridades locales en Norfolk, Suffolk y Cambridgeshire, Reino Unido, que registró más de 160 brechas de datos entre 2014 y 2015, la mayoría debido a errores humanos (incluyendo teléfonos móviles perdidos, cartas mal direccionadas e incluso un archivador que contiene datos confidenciales vendido a un tercero).
2. ¿Descuidado o negligente?
¿Sabes la advertencia de seguridad que parpadea en tu pantalla – ¿siempre tomas medidas inmediatas? Una encuesta realizada por Google en 2013 descubrió que 25 millones de advertencias de Chrome fueron ignoradas por 70.2% del tiempo debido en parte a la falta de conocimiento técnico de los usuarios, lo que llevó al gigante tecnológico a simplificar el lenguaje que usa para sus advertencias.
3. Malicioso
Desafortunadamente, así como el error humano, las acciones maliciosas de los empleados también juegan un papel en las violaciones de información privilegiada. Esto es ilustrado por la historia del OFCOM, el regulador de comunicaciones del Reino Unido, que descubrió en 2016 que un ex empleado había estado recolectando secretamente sus datos de terceros. Sorprendentemente, la actividad maliciosa había tenido lugar durante un período de seis años. El gigante de los supermercados británicos Morrisons también habría caído en la cuenta de un empleado descontento que publicó los datos personales de casi 100.000 de su personal en Internet. Aunque el incidente se produjo en 2014, la empresa todavía se enfrenta a la perspectiva de nuevas acciones legales por parte del personal sobre el incumplimiento.
¿Qué se puede hacer?
Según una encuesta de 2016, el 93% de los encuestados considera que el comportamiento humano es el mayor riesgo para la protección de datos. Nuix, que encargó la encuesta, cree que las corporaciones pueden comenzar a reprender a los empleados que «malentienden, malinterpretan o mal usan las políticas y procedimientos de seguridad”.
Aumentar la conciencia de los empleados Quizás el paso más lógico para las compañías es asegurarse de que todos los empleados estén enterados del impacto potencial de sus acciones, y de cómo evitar la pérdida inadvertida de datos. También es importante involucrar a todos los empleados en una formación adecuada, en lugar de simplemente los que participan directamente con TI.
Mantenga la información segura Aunque no es aceptado por todos, el cifrado de datos podría ser una parte importante de la prevención de la pérdida de datos.
Supervisar datos y comportamientos Mantener una estrecha vigilancia sobre el uso de la computadora y los comportamientos de las personas deben permitir a las empresas a permanecer al tanto e identificar actividades inusuales o riesgosas. Esquemas BOYD (traiga su propio dispositivo) que operan en muchas empresas también deben ser cuidadosamente monitoreados y controlados.
Fuente: https://www.welivesecurity.com/2017/05/26/3-types-employees-cause-data-breach/