Si PwC ya alertaba sobre la escasa transformación digital de las empresas españolas, ahora Cisco llama la atención sobre los sistemas de seguridad. Según su Estudio de Seguridad basado en una encuesta a más de 1.000 empleados de organizaciones españolas, los datos corporativos críticos están en riesgo en España. Según su investigación, el problema radica en que en España se mira más hacia los peligros de fuera que los de dentro.

La principal conclusión del estudio de Seguridad de Cisco describe el comportamiento de los trabajadores como un eslabón débil en la cadena de ciberseguridad, de esta forma se convierte en la principal fuente de riesgos. Aun así, los trabajadores no son un peligro por sus intenciones, sino por su desconocimiento y falta de consciencia. Los empleados esperan que las políticas de seguridad con las que cuenta la empresa se encarguen de todo, de forma que se olvidan de las verdaderas amenazas.

Además, un creciente número de empleados creen que las políticas de seguridad están frenando la innovación y la colaboración, complicando el correcto desempeño de sus tareas. Como consecuencia, algunos trabajadores deciden saltarse dichas políticas de seguridad. Siempre hemos dicho que el departamento de tecnología debe ser un departamento activo que sepa responder con rapidez, no solo a las necesidades del mercado, sino también a las necesidades de los trabajadores.

En muchas empresas son los propios trabajadores los que encuentran una herramienta digital que puede ayudarles en su día a día y muchas veces, debido a la lentitud de los procesos de aceptación o a la aparente negativa, los empleados deciden saltarse las restricciones en seguridad en pos de una mayor productividad.

Según Eutimio Fernández, director de Seguridad en Cisco España, “el estudio confirma los complejos retos de seguridad TI a los que se enfrentan las organizaciones. Aunque la mayoría de trabajadores reconocen que la amenaza de los cibercriminales es real y requiere una defensa continua, el usuario es el eslabón más débil de la cadena y está incrementando los riegos para las empresas españolas. Un trabajador que confía ciegamente en los mecanismos de seguridad facilita distintas puertas de entrada hacia los datos corporativos confidenciales”.

Hacktivismo y el comportamiento de los usuarios, principales riesgos

Hay que reconocer que hasta cierto punto los trabajadores españoles entonan el «mea culpa», ya que al menos el 48% de los encuestados reconoció que son el segundo mayor riesgo para la seguridad de los datos corporativos. Pero en primer lugar (52%) sitúan a los hackers como la principal amenaza.

En este sentido, todos los empleados consultados utilizan la red corporativa para realizar transacciones personales, como gestiones de sus cuentas bancarias (86%), compras on line (69 por ciento), reservas de viajes (54%) o redes sociales (43%).

Falta de consciencia y desconocimiento

El estudio vuelve a llamar la atención sobre la amenaza interna que sufren las empresas que se traducen en la relajación de los empleados. Éstos están convencidos de que la empresa se encarga de proteger sus actividades online.

Un 39% espera que sea la propia empresa la que, mediante sus mecanismos de seguridad, les proteja frente a cualquier riesgo. Son menos de la mitad, el 45%, los que toma responsabilidad sobre sus propias acciones y cree que es tarea suya mantener a salvo los datos corporativos y personales.

El dato más alarmante es el del 58% que se sienten totalmente ajenos al verdadero alcance de las amenazas, ya que piensan que su comportamiento tiene un impacto de mínimo a moderado en la seguridad.

Pero lo cierto es que las políticas de seguridad tampoco aprueban. Mientras el 58% de los empleados creen que su compañía cuenta con una política de seguridad que regula las conexiones, el 24% lo niega y casi dos de cada diez (el 18%) no saben si existe.

La mitad de los consultados (el 49%) afirman que dicha política no les afecta en su trabajo, y un 41% sólo se dan cuenta de que existe cuando los mecanismos de seguridad evitan que realicen alguna acción. Como resultado, cuatro de cada diez encuestados admiten un escaso o moderado respaldo a las políticas de seguridad implementadas, aunque el 23% dicen ser más rigurosos con la seguridad en el trabajo que en casa (17%).

Además, y sorprendentemente, el 77% de los trabajadores consultados no son conscientes de las amenazas de seguridad más conocidas, como Heartbleed. Así, el 40% no han cambiado su actitud tras haber sido afectados por una brecha de seguridad y el 43% admiten que aún no utilizan distintas contraseñas para cada sitio o aplicación.

Freno a la innovación y la colaboración

También preocupa el dato que revela que cada vez más, los trabajadores españoles consideran la seguridad como una barrera en lugar de un facilitador de negocio. Un claro fallo en la labor de comunicación de los departamentos tecnológicos. El informe desvela que el 12% en que la seguridad TI está frenando la innovación y complicando la colaboración, mientras el 15% consideran que dificulta su trabajo. Uno de cada seis (el 16%) creen que perder una oportunidad de negocio tiene un coste mayor para la empresa de lo que podría suponer una brecha de seguridad.

De esta forma, los resultados del informe indican que las estrategias de seguridad TI implementadas en la actualidad no se corresponden con la forma en que los trabajadores quieren desempeñar sus tareas. “Los empleados creen que las actuales políticas de seguridad deben cambiar para que las empresas puedan impulsar la innovación y facilitar la colaboración, reforzando a su vez la seguridad de la red corporativa, los dispositivos y el cloud frente a ataques externos”, continúa el responsable de Cisco.

Es así como la balanza entre facilidad de operación y protección requiere una nueva aproximación hacia la seguridad TI, “capaz de adaptarse al comportamiento de los usuarios y basada en la mayor visibilidad, en el foco en las amenazas y en la simplicidad a la hora de gestionar distintas soluciones de forma unificada”.

Políticas centradas en los usuarios

Como parte del estudio, Cisco ha identificado cuatro perfiles diferentes de comportamiento frente a la seguridad TI en España, que podrían servir como base para establecer estrategias centradas en el comportamiento de los trabajadores. Cada uno de estos perfiles representa un nivel de riesgo distinto para la seguridad de los datos corporativos, y requiere una aproximación específica. Los cuatro perfiles son:

• Conscientes de las amenazas: Aquellos empleados que son conscientes de los riegos de seguridad y que intentan mantenerse seguros on line rigurosamente.
• Bienintencionados: Los trabajadores que tratan de cumplir las políticas de seguridad pero no lo hacen con constancia.
• Con falta de consciencia: Aquellos que esperan que la empresa se ocupe completamente del entramado de seguridad y no asumen ninguna responsabilidad personal para proteger los datos corporativos.
• Apáticos y escépticos: Quienes creen que las amenazas a la ciber-seguridad están sobreestimadas y que los mecanismos implementados inhiben su rendimiento, saltándose las políticas como consecuencia.

La creación de políticas centradas en los usuarios implica que las organizaciones adopten una estrategia de seguridad automatizada y gestionada centralmente, en lugar de apoyarse en los tradicionales procedimientos puntuales. Esta tendencia, impulsada por la movilidad empresarial y la mayor demanda de procesos colaborativos y de acceso a la información, permitiría a los departamentos de TI establecer protocolos específicos en función de los usuarios y proteger todos los dispositivos que utilizan en su trabajo. Dichas políticas de seguridad más receptivas deberían a su vez ayudar a los negocios a ser más  ágiles, además de seguir proporcionando la mejor defensa posible frente a los ataques externos.