Ciberataques internos, cuando el enemigo es un empleado
Los ataques internos son algo que las empresas de todo el mundo experimentan todos los días, pero que la gran mayoría opta por no hacer público, ya que puede dañar la reputación y conducir a una pérdida de clientes e inversores.
Ranking de amenazas internas de seguridad
1. Empleados desleales
Los empleados desleales o maliciosos son en muchas ocasiones empleados de confianza de las organizaciones y tienen acceso a sistemas y datos críticos, representan una gran amenaza para el bienestar de la compañía.
Estos actores pueden causar daños financieros y de reputación a través del robo de datos sensibles y propiedad intelectual. También pueden representar una amenaza cibernética destructiva si utilizan su conocimiento privilegiado, o el acceso, para facilitar o lanzar un ataque para interrumpir o degradar servicios críticos en la red de sus organizaciones o borrar datos de la red.
2. Empleados imprudentes
Igualmente preocupantes son aquellos empleados internos que accidentalmente causan daño cibernético al hacer clic inadvertidamente en un correo electrónico de phishing, conectar un USB infectado a un ordenador o ignorar los procedimientos de seguridad y descargar contenido inseguro de Internet.
El 91% de los ataques de los piratas cibernéticos comienzan por un simple correo electrónico phishing.
IBM Security
Aunque no tienen la intención de dañar deliberadamente a la organización, su acceso privilegiado a sistemas y datos significa que sus acciones pueden causar tanto daño como una información privilegiada maliciosa. Estas personas suelen ser víctimas de la ingeniería social pudiendo sin saberlo, proporcionar acceso a las redes de su organización o llevar a cabo instrucciones de buena fe que beneficien al delincuente.
3. Incumplimiento de la normativa
El cumplimiento de las normativas y buenas prácticas en materia de Ciberseguridad ha sido y sigue siendo, una asignatura pendiente para muchas organizaciones.
Las motivaciones que llevan a las empresas o a sus empleados a la falta de rigor en el cumplimiento de la normativa interna y legal suelen ser:
- la desinformación acerca de los costes reales de implantación de los controles,
- falta de concienciación sobre las medidas a implantar,
- falta de percepción de los beneficios que aporta para la organización el cumplimiento de la normativa.
Esto provoca al año el pago de cuantiosos costes por la degradación de la imagen de la compañía, la vulneración de los derechos de clientes, empleados y proveedores, con los consiguientes riesgos legales, como por ejemplo el cese de la actividad o incluso el cierre del establecimiento.