Notas de prensa
La mayoría de los empleados adoptan prácticas de ciberseguridad que ponen en riesgo a las empresas
Los empleados adoptan prácticas de ciberseguridad que podrían poner en riesgo la seguridad digital de su empresa, a pesar de conocer los peligros. Así lo ha revelado una encuesta realizada por ThycoticCentrify a más de 8.000 empleados de compañías de todo el mundo. ThycoticCentrify, proveedor de soluciones de seguridad de identidades en la nube, -formado por la fusión de las empresas de gestión de acceso privilegiado (PAM) Thycotic y Centrify,-, encargó al especialista independiente en investigación de mercado, Sapio Research, que encuestara a trabajadores de todo el mundo para descubrir si realizan buenas prácticas de ciberseguridad.
Pero los resultados son preocupantes, especialmente cuando se realiza en un entorno de trabajo en remoto o con modelo híbrido. Y es que, la encuesta realizada concluye que el 79% de los encuestados se han involucrado en, al menos, una actividad de riesgo el año pasado. Del mismo modo, más de un tercio (35%) ha guardado contraseñas en su navegador en 2020; un 32% ha utilizado una misma contraseña para acceder a varios sitios y alrededor de uno de cada cuatro (23%) ha conectado un dispositivo personal a la red corporativa, en el último año.
Casi todos los encuestados (98%)* tienen el conocimiento necesario para saber que realizar determinadas acciones, como hacer clic en enlaces de fuentes desconocidas o compartir credenciales con compañeros, pueden suponer un riesgo para su empresa. Pero, a pesar de ello, sólo el 16% de los encuestados siente que su organización tiene un riesgo muy alto de sufrir un ataque de ciberseguridad.
Más de la mitad de los españoles percibe un alto riesgo de ciberataque
Sin embargo, según el estudio, la percepción del riesgo es relativa según el país en el que se encuentre el empleado. Concretamente, el 54% de los españoles creen que existe un riesgo alto o muy alto de sufrir un ciberataque. Y, además, España es el tercer país del estudio en afirmar haber percibido un aumento de mensajes fraudulentos o phishing este año, con respecto al año anterior. Así lo afirmaron el 88% de los españoles encuestados.
Del mismo modo, en caso de existir un riesgo, los españoles destacan por saber con quién contactar en su empresa (84%) en caso de que sea necesario, frente a los japoneses, que solo sabrían quién es el responsable en caso de incidente de ciberseguridad en un 67% de los casos. Todo en un entorno de teletrabajo propiciado por la pandemia, en el que el 42% de los encuestados españoles afirma haber regresado ya a las oficinas, mientras que el 6% espera no volver nunca.
Para Joseph Carson, científico jefe de seguridad y CISO asesor de ThycoticCentrify: “Las personas que trabajan en el sector de la ciberseguridad saben cómo deben comportarse sus compañeros para poder asegurar sus dispositivos y proteger a la empresa. Pero, ¿se están transmitiendo estos mensajes? Instamos a los empleadores a redoblar sus esfuerzos para promover las mejores prácticas de ciberseguridad entre sus empleados y para recordarles los riesgos de no proteger las redes. Y es que un ataque de ransomware o una infracción importante tiene consecuencias importantes que pueden durar años, por lo que todas las organizaciones deben establecer procesos de seguridad y trabajar para garantizar que los empleados lo tengan siempre en mente.»
Sin embargo, según este estudio, solo el 44% de los encuestados recibió formación sobre prácticas de ciberseguridad el año pasado, lo que significa que más de la mitad de los empleados tuvieron que enfrentarse solos al temible panorama de amenazas creado como consecuencia del trabajo desde casa. Y, en concreto, las organizaciones más pequeñas son las que tuvieron menos probabilidades de proporcionar formación en ciberseguridad a sus empleados, el año pasado.
“El trabajo remoto o híbrido también plantea un desafío particular para la seguridad, por lo que las organizaciones deben asegurarse de incorporar buenas prácticas de ciberseguridad en su personal, sin importar desde dónde estén trabajando”, añade Carson. Porque es más probable que los trabajadores identifiquen el riesgo cibernético para su organización como un riesgo alto (55% en comparación con 43%) si ha recibido formación al respecto, ya que podría comprender mejor los riesgos.
No en vano, este estudio demuestra que, a pesar de saber que hacer clic en enlaces de fuentes desconocidas presenta un riesgo para una organización, solo el 16% de los encuestados siente que su negocio tiene un riesgo muy alto de ataques de ciberseguridad, una suposición que se contradice por el 79% de los encuestados que afirman haber visto un aumento en el número de mensajes fraudulentos y de phishing en el último año.
Las PYMES se encuentran en un riesgo mayor
Las personas que trabajan en pymes tienen menos probabilidades de haber recibido formación sobre prácticas de ciberseguridad durante el año pasado. Ya que, según este estudio, poco menos de la mitad (47%) de los que trabajan en empresas con más de 5.000 empleados recibieron formación en los últimos 12 meses, en comparación con el 20% de los empleados en empresas con menos de 10 empleados y del 32% en organizaciones, entre 11 y 50 empleados. Por eso, aquellos en empresas más pequeñas perciben que el riesgo de su empresa es menor. Según este estudio, solo el 37% de los empleados en organizaciones con 1-10 empleados afirman que hay un riesgo alto, en comparación con el 50% en organizaciones con más de 100 empleados.
Del mismo modo, el estudio afirma que las empresas más pequeñas también tenían menos probabilidades de haber implementado buenas prácticas de ciberseguridad como la autenticación multifactor (MFA) o las redes privadas virtuales (VPN), en comparación con las organizaciones más grandes.
Responsabilidad personal por la seguridad
La encuesta también reveló un sentido general de responsabilidad entre los empleados: el 86% está de acuerdo en que tienen la responsabilidad personal de asegurarse de no exponer a su organización a amenazas cibernéticas y el 51% dice que todavía cree que los departamentos de TI deberían tener la responsabilidad exclusiva de proteger a las empresas.
Para descargar el informe completo: Guía del equipo de seguridad cibernética: Equilibrio entre riesgo, seguridad y productividad