A principios de este año, una solicitud urgente para los equipos del área de TI era garantizar la entrega eficiente de computadoras portátiles y otros dispositivos informáticos a los empleados, ya que gran parte de la fuerza laboral comenzó a trabajar de forma remota debido a la pandemia de coronavirus. Una prioridad clave para los profesionales de TI era asegurarse de que sus políticas de tecnología y seguridad estuvieran listas para cumplir a tiempo con el trabajo remoto.
Al respecto, la unidad de investigación de la empresa SILIKN realizó un estudio en el cual se le preguntó a 1,100 empleados de empresas mexicanas y extranjeras que operan en el país, ubicadas en la Ciudad de México, Querétaro, Guadalajara, Puebla, Estado de México, Mérida y Monterrey, sobre el uso de dispositivos de trabajo para actividades personales y su conocimiento de los riesgos cibernéticos actuales.
En el estudio se encontró que el 78.4% de los encuestados usa ampliamente el dispositivo proporcionado por la compañía para asuntos personales, mientras que el 62.3% admitió usar dichos dispositivos con mayor frecuencia desde que comenzaron a trabajar de forma remota.
Las actividades más habituales fueron consultar el correo electrónico personal (56.7%), realizar transacciones financieras (47.2%) y hacer compras online (38.1%), siendo que el correo electrónico personal, la navegación web y las compras en línea ya eran tres áreas de gran preocupación para los responsables del área de TI, aseveró Víctor Ruiz, fundador de SILIKN.
Dijo que para los encargados de esta área, el 81.9% mencionó que revisar el correo electrónico personal representa un riesgo y es una de las principales causas de los errores de seguridad. De igual forma, el 79.5% señaló que navegar por la web o hacer compras en línea podrían causar un incidente de seguridad.
Por qué fallan las campañas de concientización
“Un punto a resaltar es que el 92.9% de los encuestados afirmaron estar conscientes de que los enlaces en el correo electrónico, en los sitios de redes sociales y en los sitios web pueden potencialmente infectar sus dispositivos”, destacó Ruiz.
El 56.8% ha recibido capacitación especial de concientización sobre ciberseguridad relacionada con el trabajo desde casa durante la pandemia. No obstante, esto no siempre se traduce en poner en práctica este conocimiento, pues 49.3% de los encuestados admitió haber abierto correos electrónicos que consideraban sospechosos. El mismo porcentaje (49.3%) admitió no reportar correos electrónicos sospechosos a sus equipos de sistemas o de seguridad.
“El análisis desarrollado por la unidad de investigación de SILIKN muestra que —además de que falta todavía una mayor concientización y capacitación en ciberseguridad para los empleados, por parte de las empresas— la mayor parte del contenido y la frecuencia de los entrenamientos ha sido ineficaz para reducir los riesgos de ciberseguridad”, manifestó el directivo.
La formación debe incluir contenidos actualizados, de preferencia deben ser específicos, breves, relevantes y con amplios contenidos visuales y ejemplos.
La capacitación en concientización no puede ser simplemente otra actividad complementaria si se requiere que la organización esté preparada contra las ciberamenazas, advirtió el directivo de SILIKN.
Los más jóvenes ponen en mayor riesgo a las organizaciones
Otro aspecto importante es que, a pesar de ser la generación más conocedora de la tecnología, los empleados más jóvenes pueden poner a las organizaciones en mayor riesgo, pues el 63.2% —del grupo de 20 a 26 años— admitió haber abierto correos electrónicos a pesar de que parecían sospechosos. Este grupo también utilizó más los dispositivos de la empresa para asuntos personales: el 87.8% del grupo de edad de 20 a 26 años informó que usaba sus dispositivos para asuntos personales, mientras que el 32.9% del grupo de 40 a 56 años admitió lo mismo.
“Debido a que nuestros hogares se están convirtiendo en las nuevas oficinas, no es realmente una sorpresa que los empleados estén usando los dispositivos proporcionados por la empresa para uso personal”, aseveró Ruiz. Sin embargo, dijo, esto ha representado una gran oportunidad para que los atacantes se dirijan a las víctimas de nuevas formas. “Hemos visto que los ataques se vuelven más agresivos y la superficie de ataque se ha expandido debido a los nuevos entornos de trabajo híbridos”.