Imagine que su empresa tiene lo que crees es el mejor software de seguridad disponible. Siente como si hubiera hecho la debida diligencia y asumiera que las medidas tomadas son las mejores. Pero esas medidas sólo son tan buenas como la que asuman sus empleados. Y probablemente lo decepcionen.

En un análisis de mensajes de desarrolladores en una plataforma de versionamiento Github: Remover Contraseñas y Github: Remover llaves del API se encontraron en total 721.274 mensajes que indican que las contraseñas secretas estuvieron publicadas en algún momento en los repositorios, y peor aún es que lo sigan estando por ser una plataforma de versionamiento. Los desarrolladores no eran maliciosos, sino que simplemente intentaban hacer su trabajo lo mejor que podían.

Los empleados no reaccionan adecuadamente a una forma infiltración digital llamada ingeniería social. Los tipos más comunes de ingeniería social son el phishing por correo electrónico y las llamadas telefónicas.

Definiendo la Amenaza

Desde los primeros días de la seguridad informática, los empleados han sido el eslabón más débil en la cadena de seguridad digital. Y la ingeniería social ha sido el método más fácil para que los atacantes obtengan información.

¿Por qué tomarse la molestia de eludir los firewalls corporativos y los dispositivos de seguridad cuando es más fácil pedirles a sus empleados la contraseña?

Alguien puede llamar a uno de sus empleados y pretender ser del centro de soporte. Es posible recopilar suficiente información para hacer que un usuario crea que realmente son de su empresa. Al compartir contraseñas, informes directos y otra información, los atacantes pueden obtener acceso de administrador a su red .

Un correo electrónico de phishing se puede personalizar para que parezca que proviene de un sitio web bancario. O bien, puede contener un enlace incrustado que conduce a un sitio web que contiene malware creado para comprometer su información.

Equilibrio entre productividad y seguridad

Estos atacantes se aprovechan de los empleados que solo intentan ser productivos. Los empleados tienen a menudo dificultades con las restricciones que los programas de seguridad pueden poner en sus actividades cotidianas. Sin embargo es necesario encontrar un equilibrio entre productividad y la seguridad.

La compañía promedio pequeña a mediana puede no tener la experiencia técnica para conocer qué herramientas existen para mejorar la seguridad. O quizás sientan que no tienen el dinero para implementarlos. Pero estas aplicaciones son cada vez menos costosas y más interfuncionales.

Pasos preventivos y herramientas

Muchas ofertas actuales contienen mecanismos para aislar archivos adjuntos y enlaces maliciosos en un entorno virtual en el que la PC de un usuario no se puede ver afectada.

Por ejemplo, VectorShield es un navegador que crea una máquina virtual completa para cada sesión del navegador. Si un virus, malware o ransomware infecta la sesión, el usuario simplemente puede “cerrar la ventana” y evitar daños. También se recomiendan las web gateways seguras, que proporcionan una capa de seguridad entre su empresa e Internet.

Otro enfoque, las soluciones de seguridad de endpoints, aísla aplicaciones como navegadores web y archivos adjuntos de correo electrónico, sumergiéndolos en un contenedor virtual seguro que los protege de los atacantes informáticos.

Finalmente, generar una conciencia de seguridad es crítico. Todos los empleados deben participar, y no solo una vez. Cuando se trata de seguridad digital, es crítico realizar capacitaciones frecuente. Nuevas formas de ataques aparecen y la seguridad debería ser lo más importante.

Después de todo, sus empleados son los responsables directos de proteger sus datos.