7 formas en que el error humano puede causar infracciones de seguridad cibernética

Publicado: 2022-04-19

Según un extenso informe de ciberseguridad publicado por Verizon en 2021, “el 85 % de las filtraciones de datos se deben a errores humanos”. En ciberseguridad y protección de datos, el error humano se define como las acciones no intencionales de los empleados que pueden causar brechas de seguridad que, en la mayoría de los casos, conducen a fugas de datos.

Un solo error puede ser fatal para las empresas y costar millones de dólares. Por ejemplo, Target sufrió una enorme filtración de datos en 2013 que le costó a la empresa 90 millones de dólares. Después del incidente, la reputación de la empresa se dañó y tomó mucho tiempo recuperar la confianza de los clientes.

¿Podría la empresa prever que podría ocurrir una brecha de seguridad y prevenirla? Analicemos los errores humanos más comunes y cómo prevenirlos.

Mostrar tabla de contenido
  • 7 errores humanos críticos que causan violaciones de ciberseguridad
    • 1. Higiene de contraseñas
    • 2. Control de acceso a datos inadecuado
    • 3. Software espía
    • 4. Falta de conciencia sobre ciberseguridad
    • 5. Correos electrónicos de phishing
    • 6. Seguridad de software inadecuada
    • 7. Parches retrasados
  • Cómo mitigar los riesgos de errores humanos y prevenir infracciones de ciberseguridad
    • 1. Mejorar la gestión de contraseñas
    • 2. Controle el acceso a datos confidenciales
    • 3. Instalar software antivirus y antispyware
    • 4. Educar a los empleados sobre ciberseguridad
    • 5. Filtrar correos electrónicos entrantes
    • 6. Actualice su política de seguridad
    • 7. Actualice el software regularmente

7 errores humanos críticos que causan violaciones de ciberseguridad

hacker-anónimo-ciberseguridad-criminal-ilegal-datos-contraseña-protección

La naturaleza no intencional de los errores humanos no significa que sean inevitables. Sin embargo, las empresas pueden identificar las vulnerabilidades en sus políticas de seguridad y tomar medidas para mitigar los riesgos. Aquí están los siete errores humanos más comunes que pueden causar brechas de seguridad.

Recomendado para usted: 17 mejores consejos de ciberseguridad para mantenerse protegido en línea en 2022.

1. Higiene de contraseñas

error-humano-brechas-de-ciberseguridad-1

Una investigación de 2021 realizada por NordPass en 50 países revela que 130 millones de personas utilizan la combinación "123456" para iniciar sesión. La segunda y tercera contraseña más utilizadas son “123456789” y “qwerty”, utilizadas por 46 millones y 22,3 millones de personas, respectivamente. Un hacker habilidoso podría descifrar contraseñas tan débiles en menos de un segundo.

Además de establecer contraseñas deficientes, la mayoría de las personas usan la misma combinación para sus correos electrónicos personales y corporativos, cuentas de redes sociales y otros servicios. Algunas personas no cambian sus contraseñas durante años e incluso las comparten con colegas o las escriben en notas adhesivas y las pegan en sus monitores. Tal actitud descuidada hacia las contraseñas causa el 61% de las violaciones de seguridad, dice Verizon.

2. Control de acceso a datos inadecuado

error-humano-brechas-de-ciberseguridad-2

Asignar derechos de acceso inadecuados a alguien es otro error humano que puede causar brechas de seguridad. En algunas organizaciones, las personas incompetentes tienen permiso para acceder a datos confidenciales. Sin embargo, en la mayoría de los casos, estos amplios derechos de acceso se otorgan a los empleados de manera predeterminada, a menos que haya una solicitud específica para restringirlos.

Estos son los errores más comunes causados ​​por un control de acceso inadecuado:

  • Eliminar datos confidenciales accidental o intencionalmente.
  • Realizar configuraciones del sistema que pueden causar brechas de datos y fugas de datos.
  • Realizar cambios no autorizados en el sistema.
  • Envío de correos electrónicos con datos valiosos a los destinatarios equivocados.

3. Software espía

error-humano-brechas-de-ciberseguridad-3

Mientras los empleados están en línea buscando información para realizar la tarea en cuestión, pueden descargar archivos de fuentes no autorizadas, hacer clic en enlaces desconocidos o presionar "sí" en ventanas emergentes aleatorias. Tal acción puede obtener software espía en su dispositivo sin su conocimiento. Ni siquiera sospechará que mientras realiza su trabajo diario, registra sus actividades en línea y obtiene sus credenciales de inicio de sesión e información personal. Luego, este malware malicioso transfiere la información recopilada al tercero que la usa sin su consentimiento.

La peor parte es que el software espía puede propagarse desde una computadora e infectar toda la red de una empresa. Si no se detecta a tiempo, causa daños multimillonarios al negocio.

ransomware-malware-seguridad-virus-spyware-cybercrime-hacking-spam

4. Falta de conciencia sobre ciberseguridad

error-humano-brechas-de-ciberseguridad-4

En la mayoría de los casos, los errores humanos que provocan brechas de seguridad se cometen de manera accidental o por falta de conocimiento. Desafortunadamente, algunas organizaciones están tan concentradas en obtener resultados que ignoran la necesidad de educar a sus empleados sobre ciberseguridad. Estos son los varios errores comunes que las personas pueden cometer debido a la falta de conocimiento:

  • Descarga de software de fuentes sospechosas y autorizadas.
  • Conectarse a Wi-Fi público en restaurantes u hoteles sin encriptación VPN.
  • Dispositivos de conexión como un almacenamiento USD de origen desconocido.

5. Correos electrónicos de phishing

error-humano-brechas-de-ciberseguridad-5

Según una investigación realizada por Verizon en 2020, el 20% de las infracciones de seguridad cibernética ocurren debido a correos electrónicos de phishing. Hacer clic en los enlaces maliciosos dentro de dichos correos electrónicos es uno de los errores humanos más costosos. Según se informa, el costo promedio de un solo registro robado es de $133. ¡Imagínese cuánto daño puede causar a una organización si toda la red se infecta además de la computadora de los usuarios finales!

6. Seguridad de software inadecuada

error-humano-brechas-de-ciberseguridad-6

Cuando los empleados realizan tareas diarias repetitivas, se vuelven descuidados e ignoran los procedimientos de seguridad con el tiempo. Piensan que si ayer su trabajo fue perfecto, nada podría amenazarlos hoy. Esta actitud descuidada hacia los procedimientos de seguridad a veces puede comprometer el sistema de seguridad de empresas enteras. Estos son los procedimientos de seguridad que los empleados ignoran:

  • Actualizaciones de software: la mayoría de los empleados se saltan las actualizaciones de software porque tardan demasiado o aparecen en los momentos más inconvenientes.
  • A veces, los empleados pueden desactivar los antivirus o las funciones de seguridad porque interfieren con su trabajo. Es peligroso dejar la computadora sin protección incluso por un solo minuto mientras se usa activamente Internet.

7. Parches retrasados

error-humano-brechas-de-ciberseguridad-7

La aplicación de parches retrasada está estrechamente relacionada con el punto anterior, pero se enfoca más en las actualizaciones de software. Los ciberdelincuentes buscan constantemente vulnerabilidades en la seguridad del software, pero los desarrolladores de software también lo hacen. Una vez que han descubierto dicha vulnerabilidad, la reparan de inmediato y envían parches conocidos como actualizaciones de software. Aquellos que instalan las actualizaciones a tiempo protegen sus dispositivos de violaciones de seguridad, mientras que cada minuto de retraso aumenta el riesgo de verse comprometidos.

El caso de la agencia de informes crediticios Equifax es un excelente ejemplo de por qué no se deben ignorar las actualizaciones de software. En 2017, su software tenía una vulnerabilidad de seguridad. La empresa lo sabía, pero retrasó el proceso de parcheo. Como resultado, su sistema fue pirateado y la información personal de más de 140 millones de clientes estadounidenses y 8000 clientes canadienses se vio comprometida.

Te puede interesar: Documentos y Protocolos que Tu Negocio Necesita para la Ciberseguridad.

Cómo mitigar los riesgos de errores humanos y prevenir infracciones de ciberseguridad

ciber-seguridad-protección-privacidad-cifrado-seguridad-contraseña-firewall-acceso

Una vez que las empresas han identificado las brechas en sus políticas de seguridad, pueden tomar medidas preventivas. Cometer errores es humano; por eso es imposible eliminar por completo los riesgos pero es posible minimizarlos. Echa un vistazo a las siguientes siete medidas.

1. Mejorar la gestión de contraseñas

Punto 1

Dado que la mayor parte de las infracciones de ciberseguridad se deben a una mala higiene de las contraseñas, las empresas deben prestar especial atención a la gestión de contraseñas. Las organizaciones deben establecer una política clara contra el uso de contraseñas simples o establecer una combinación para todas sus cuentas. Las herramientas de generación de contraseñas pueden ayudar a crear contraseñas seguras y confiables que constan de letras, números y símbolos.

Además, también debería ser una parte obligatoria de la política activar la autenticación de dos factores en todas las cuentas corporativas. Aumentará la protección de sus cuentas y las hará imposibles de descifrar por los piratas informáticos.

2. Controle el acceso a datos confidenciales

Punto 2

Otorgar acceso ilimitado a datos confidenciales a todos los empleados es un gran error de las empresas. De forma predeterminada, el acceso debe negarse a todos los empleados. Luego, los gerentes deben asignar permisos sobre la marcha cada vez que los empleados requieran acceso a los datos para realizar su trabajo. La mayoría de los sistemas incluso tienen diferentes niveles de permisos de usuario según sus roles. Por ejemplo, los especialistas junior solo pueden ver documentos, mientras que los administradores tienen derecho a editarlos o eliminarlos. Tal división de los derechos de los usuarios protege los datos confidenciales para que no se modifiquen o eliminen accidentalmente.

3. Instalar software antivirus y antispyware

punto 3

Los virus y el spyware pueden causar daños destructivos en sus dispositivos y en la red. Por lo tanto, es más sabio estar protegido que luchar contra sus devastadoras consecuencias. La mejor protección contra virus y spyware es el software antivirus y antispyware. McAfee Total Protection, Norton 360 y Bitdefender Total Security son las tres mejores soluciones anti-spyware que vale la pena usar. Este software proporciona VPN para el uso de Internet encriptado y un Firewall para proteger el dispositivo de amenazas externas.

4. Educar a los empleados sobre ciberseguridad

Punto 4

La mayoría de los errores humanos se deben a la falta de conocimiento sobre seguridad cibernética. Y la mejor manera de mitigar los riesgos de tales errores es educar y aumentar la conciencia de sus empleados sobre la seguridad de la información. Las empresas deben realizar capacitaciones frecuentes y enseñar a sus empleados sobre los ciberataques, sus tipos y procedimientos de protección. Deben saber diferenciar los correos electrónicos de phishing de los auténticos, cómo denunciarlos y qué hacer en caso de detectar brechas de seguridad. Si su empresa tiene una política de seguridad específica, asegúrese de que sus empleados la conozcan.

ciber-seguridad-seguridad-empleado

5. Filtrar correos electrónicos entrantes

Punto 5

Una forma de protegerse de los correos electrónicos de phishing es marcar los mensajes recibidos desde fuera de su empresa. Pero no es una solución al 100% ya que algunos correos electrónicos no deseados pueden imitar el dominio de correo electrónico de su empresa. Entonces, usar un software de seguridad que detecte correos electrónicos sospechosos es otra opción.

Independientemente de cómo decida luchar contra el phishing, establezca una regla general de nunca descargar un archivo o hacer clic en un enlace dentro de correos electrónicos sospechosos.

6. Actualice su política de seguridad

Punto 6

Su empresa no debe confiar en la actitud concienzuda de los empleados para seguir los procedimientos de ciberseguridad. Debe tener una política de seguridad corporativa claramente explicada que describa cómo manejar los datos confidenciales, cómo y cuándo actualizar las contraseñas y otras reglas de seguridad. Sin embargo, esta guía no debe estar desactualizada. Asegúrese de actualizarlo regularmente y notifique a sus empleados para que se familiaricen con los nuevos procedimientos de seguridad.

También te puede interesar: ¿ Cómo se utiliza el aprendizaje automático en la ciberseguridad?

7. Actualice el software regularmente

Punto 7

Los desarrolladores de software lanzan parches porque han descubierto vulnerabilidades y quieren ayudarlo a estar protegido contra ellas. Por lo tanto, ignorar y omitir las actualizaciones de software aumenta el riesgo de que su dispositivo se vea comprometido. Por lo tanto, se recomienda instalar los parches inmediatamente después de que estén disponibles.