Check Point® Software Technologies Ltd. (NASDAQ: CHKP), líder en soluciones de seguridad para Internet, ha hecho público un informe en el que muestra cómo, mientras la mayoría de las organizaciones afirma “creer sufrir un alto riesgo de ataques de ingeniería social”, sólo un 26% de las empresas reconoce formar en esta materia a sus empleados, y de hecho, el 34% afirma no hacer absolutamente nada al respecto.
En la actualidad, los ataques de ingeniería social contra empresas e instituciones van en aumento y utilizan en mayor medida las redes sociales para recopilar información personal y profesional de los individuos y atacar de este modo la organización desde su eslabón más débil, esto es, el empleado. Una de las brechas de seguridad más publicitadas hace unos meses, el caso de RSA, ya ponía de manifiesto cómo un ataque de phising puede lograr su éxito si va enmascarado en un correo electrónico para un empleado del departamento de Recursos Humanos y lleva como asunto “Plan de Contratación”.
Sin embargo, a pesar de este ejemplo ilustrativo que demuestra que los hackers no cejan en la tarea de idear métodos para saltarse las barreras de la seguridad de las organizaciones, y que precisamente han encontrado en el personal de las mismas, sobre todo aquellos empleados con acceso a información sensible, un filón por donde hacer entrada, no ha tenido como consecuencia una concienciación empresarial sobre la materia. Los hackers han encontrado en las redes sociales una mina de oro para sus fines, y la mayor parte de la organizaciones no comprende que son sus propios empleados lo que los “hackers” vigilan en la redes.
Así lo describe, Mario García, director general de Check Point Iberia: “las técnicas de ingeniería social buscan individuos con un alto conocimiento de la organización y de sus recursos, y las redes sociales son un entorno perfecto para obtener datos tanto personales como profesionales. Para responder a este desafío, la formación resulta más importante que nunca y las empresas deben poner todos los medios necesarios por su propio interés”.
La mencionada encuesta pone de manifiesto que la formación en seguridad no entra dentro de las políticas de buenas prácticas para la seguridad de los empleados en casi el 75% de las organizaciones, lo que significa que la mayor parte de las corporaciones no apuestan ni invierten en la educación de sus empleados como vía para solucionar las crecientes amenazas para su seguridad.
Sin embargo, como advierte Check Point, las organizaciones deberían extremar sus medidas de seguridad en todos sus niveles y situar al empleado en el vértice de sus políticas. A juicio de Mario García, “los expertos en seguridad recomiendan a las empresas que consideren que en algún momento pueden ser atacadas y, con esta idea, presten mayor atención a estos nuevos escenarios, analizando e incluso recreando ataques pasados para comprender dónde se encuentran sus debilidades. Y, a partir de ahí, ofrecer la mejor formación posible a sus empleados”.
Por último, los expertos recuerdan que el coste económico de uno de estos ataques puede ser millonario y que la “barrera” que representa un empleado formado y concienciado acerca de los riesgos posibles puede ahorrar muchos miles de euros a cualquier compañía.
