Entrevistamos a Eusebio Nieva, director técnico de Check Point Software para España y Portugal.
Un 95% de problemas de ciberseguridad tienen como origen un error humano, según un informe del Foro Económico Mundial. Ante esta situación, muchas compañías como el Banco Santander han comenzado a tomar medidas.
En este caso, el Banco Santander ha puesto en marcha una iniciativa en la que ha incorporado la respuesta de los empleados de los servicios centrales del banco a los ciberataques de phishing en la política de cobro de bonus. Esto nos da una imagen de la preocupación que está suponiendo para las empresas, los problemas derivados de los ciberataques y la importancia que tiene la falta de formación de los trabajadores para evitar este tipo de estafas cibernéticas.
Eusebio Nieva, director técnico de Check Point Software para España y Portugal, responde a las preguntas de Cybersecurity News sobre riesgos, ciberseguridad e importancia de formación de empleados.
CyberSecurity News (CSN): La decisión de compañías como el Banco Santander muestra la preocupación por la formación de los empleados, pero como experto, ¿Cuál es el estado de madurez en concienciación y ciberseguridad en los empleados en España?
Eusebio Nieva (EN): A pesar de que cada vez más personas están familiarizadas con la ciberseguridad, sus peligros y cómo mantenerse a salvo, aún sigue quedando mucho por hacer. Sigue faltando formación en centros de enseñanza y empresas para que las personas sepan más acerca de ciberseguridad.
De hecho, según nuestros datos, los ataques han aumentado un 32% de forma global en el segundo trimestre del año y un 27% en España concretamente, por lo que no se puede afirmar que haya un estado de madurez y concienciación alto.
CSN: – ¿Cuáles son las consecuencias o impacto en el negocio en caso de un error humano en una empresa?
EN: Es una estimación difícil de hacer, ya que cada empresa tiene un tamaño, objetivos y personal distintos, además de los ingresos. Según nuestras últimas investigaciones, el rescate que piden los ciberdelincuentes en caso de conseguir realizar un ataque con éxito está entre el 0,7% y el 5% de los ingresos anuales de la empresa.
Pero no solo eso, también hay que contar que el rescate es una pequeña parte del daño. En total, el coste de la recuperación de un ataque de este tipo puede ascender hasta siete veces la cifra que he mencionado anteriormente. Si vamos un poco más allá, también podremos apreciar que el daño no es solo económico, ya que también afecta a la imagen de la compañía, algo con lo que podría perder contratos, patrocinios, etc.
CSN: Las PYMES por su menor inversión en materia de ciberseguridad y formación de empleados pueden ser más vulnerables a los ciberataques, ¿Cómo evitar los errores humanos en pequeñas y medianas empresas?
EN: Formar a los trabajadores es la clave para que las pymes puedan hacer frente a los ciberataques.
En cuanto a cómo evitar los errores, podemos destacar varios consejos a tener en cuenta al enfrentarnos a un phishing, ya sea mediante un correo, sms, WhatsApp o mensaje directo; siempre comprobar el remitente, verificar si tenemos un servicio contratado con esa compañía y la forma en que está escrito el contenido del mismo.
Nunca hay que pinchar en enlaces que desconfiemos y tampoco introducir nuestras credenciales. Lo mejor es siempre acceder desde la propia página oficial de la compañía. Un consejo muy valioso también es saber que las empresas nunca nos van a pedir por nuestro usuario y contraseña en el correo o mensaje.
CSN: ¿Cuáles son los mecanismos de sensibilización existentes para que todos los integrantes de una empresa sean conscientes de los posibles riesgos asociados a la ciberseguridad?
EN: Formación y comunicación, fundamentalmente. Hay que formar a los trabajadores en ciberseguridad y comunicarles de una manera simple y eficaz el daño que un ciberataque puede ocasionar, no solo en la empresa, sino también en ellos mismos, ya que se verían comprometidos sus propios datos.
Para ello, nosotros tenemos programas como la Check Point Secure Academy que consiste en formar a estudiantes en habilidades básicas de ciberseguridad.
CSN: En cualquier organización es importante medir el grado de conocimiento y vulnerabilidad de los trabajadores. ¿Cuáles son las medidas básicas que debe conocer un empleado para evitar un ciberataque?
EN: Las cuatro precauciones principales que deben de tener los empleados son:
- Extremar las precauciones con los correos y mensajes, evitando pinchar en cualquier enlace que tengan en ellos.
- Tener una contraseña única y segura para cada aplicación o página a la que accedamos, de manera que, si nos roban la contraseña de una, no puedan acceder a las demás.
- Usar la autenticación de doble factor, es decir, tener una contraseña alfanumérica y una segunda manera de verificar la identidad que puede ser un rasgo biológico (huella dactilar, reconocimiento facial, etc.), un mensaje a un número de teléfono para verificar la identidad o una pregunta de la que solo nosotros sabemos la respuesta.
- Tener todo el software y aplicaciones actualizadas al día, ya que con las actualizaciones se subsanan muchos de los problemas de seguridad que tienen las aplicaciones y las hacen más seguras.
Siguiendo estos consejos, los trabajadores tendrán bastante camino recorrido en cuanto a la ciberseguridad que les corresponde a ellos, y a su vez, la empresa en sí estará más blindada contra los ciberataques.
CSN: ¿Cree que estrategias para involucrar a los empleados en materia de ciberseguridad como la del Banco Santander serán la que seguirán otras grandes compañías próximamente?
EN: Es algo que deberían de hacer definitivamente, ya que es una estrategia efectiva contra el phishing, uno de los métodos más utilizados por los cibercriminales para atacar empresas. Según datos del Foro Económico Mundial, el 95% de los ciberataques tiene como origen un error humano, por lo que, si se consigue que los trabajadores tengan los conocimientos necesarios para detectar este tipo de ataques, las empresas reducirían drásticamente el número de ataques sufridos.
Aun con este tipo de iniciativas, las empresas deben de seguir asegurando sus equipos y redes, ya que sigue habiendo ataques, como los DDoS o los de día cero, que no necesitan interacción humana para llevarse a cabo y que también suponen un gran peligro para la ciberseguridad de la compañía.
