Con el fin de comprender mejor la dinámica entre amenaza y respuesta, Kaspersky ha realizado un estudio, 2023 Human Factor, que busca ofrecer una visión más clara del ecosistema de ciberseguridad a través de la lente humana.
Se parte de una realidad: el 77 por ciento de las empresas experimentaron al menos una brecha de seguridad en los últimos dos años. Sin embargo, lo que las empresas atribuyen a estos incidentes difiere, al igual que su respuesta. Para algunos, invertir en nuevas herramientas de automatización es una prioridad. Para otros, contratar nuevo personal de TI es el camino a seguir. Otros buscan subcontratar su seguridad. La educación también es parte de esta combinación estratégica, pero quizás no en la medida que debería, especialmente considerando que el 64% de todos los incidentes cibernéticos en los últimos dos años fueron causados por errores humanos.
El estudio ha puesto sobre la mesa que los incumplimientos intencionados de las políticas por parte de los empleados, tanto del personal de TI como del no TI, desempeñaban un papel importante en los incidentes de iberseguridad. En particular, los responsables de seguridad de TI, otros profesionales de TI y colegas no relacionados con TI fueron identificados como fuentes de brechas, contribuyendo al 13%, 12% y 4% de los incidentes, respectivamente.
Al examinar el comportamiento individual de los empleados, el estudio reveló que el 22 por ciento de los incidentes se debieron al uso deliberado de contraseñas débiles o a no cambiarlas rápidamente. Además, el 18 por ciento estuvo relacionado con el personal que visitaba sitios web no seguros, mientras que el 25 por ciento se debió a que se descuidó el software del sistema o las actualizaciones de aplicaciones.
Además, los servicios o dispositivos no solicitados fueron identificados como contribuyentes importantes a las violaciones intencionales de las políticas, y el 14 por ciento de las empresas experimentaron incidentes debido a sistemas no autorizados para compartir datos. Particularmente preocupante fue el hallazgo de que el 20 por ciento de las acciones maliciosas fueron cometidas por empleados para beneficio personal, y que el sector de servicios financieros acumule el 34 por ciento de tales incidentes.
