El enemigo interno: los empleados, la mayor amenaza de la Seguridad de la Información

La encuesta realizada por BSI, la empresa de normas de negocio, investigó la percepción de amenazas en la Seguridad de la Información y cómo las empresas están respondiendo. Se ha descubierto que a pesar de tomar medidas para luchar contra los riesgos, el 37% de las empresas todavía ven a los empleados como la mayor amenaza de Seguridad de la Información, el ranking de amenaza interna es mayor que los ataques cibernéticos (19%) y que el uso de dispositivos externos (BYOD) (15%).

Con el fin de reducir el riesgo para su negocio, más de la mitad (52%) han puesto en marcha una política de Seguridad de la Información interna, el 47% ha proporcionado formación al personal y el 63% están también certificadas o bien actuando de acuerdo a la norma ISO 27001 (34%), el Sistema de Gestión de Seguridad de la Información. Un 23% adicional indicó que estaban planteándose certificarse en un futuro inmediato.

Sin embargo, la confianza en las medidas de seguridad para protegerse contra los riesgos es relativamente baja, un 46% declaran estar confiando en las medidas que su empresa ha tomado. Uno de cada diez no confía en absoluto, sin embargo, como era de esperar, en las organizaciones que están certificadas con la norma ISO 27001 con niveles de confianza se elevan a un 78% en las medidas de seguridad.

"No es ninguna sorpresa ver las amenazas internas como el mayor riesgo para la Seguridad de la Información ya que los empleados serán siempre un eslabón muy difícil de controlar", dijo Suzanne Fribbins, Experto de Gestión de Riesgos en BSI. "Los empleados no tienen por qué poner a su empresa en situación de riesgo, simplemente no comprenden los posibles riesgos asociados con sus acciones. La investigación ha demostrado que una formación eficaz del personal puede reducir a la mitad el número de infracciones internas, dado que ellos entenderían su función en la información crítica y la importancia de la Seguridad de la Información en la empresa".

El compromiso de la Alta Dirección es esencial para que una organización gestione la Seguridad de la Información de manera eficaz. Es alentador que el 73% de los encuestados cree que la Alta Dirección se dedica a la Seguridad de la Información. Pero el 54% no requiere de los recursos necesarios que se asignan, a pesar de ser una de las principales formas en las que la Alta Dirección puede demostrar su compromiso con la protección de la confidencialidad, integridad y disponibilidad de la información". Para que un Sistema de Gestión de Seguridad de la Información sea eficaz, los recursos adecuados deben ser asignados, y los roles y responsabilidades necesitan estar claramente definidos", explicó Fribbins.
Suzanne Fribbins continuó: "Hemos encontrado que las organizaciones que implantan la norma ISO 27001 pueden identificar mejor las amenazas a su Seguridad de la Información y poner en marcha los controles adecuados para gestionar y reducir los riesgos. Esta teoría ha sido corroborada por los resultados de la investigación, con un 58% de los encuestados con un mayor beneficio gracias a la norma, seguido de la mejora de la capacidad para cumplir con los requisitos del cliente/concurso (41%), una mayor coherencia de enfoque lograda (41 %) y una mayor concienciación sobre la Seguridad de la Información (30 %)".

Curiosamente, la encuesta averiguó que más de tres cuartas partes (77 %) de las organizaciones preguntaron al proveedor por la norma ISO 27001 como requisito previo para realizar un nuevo negocio. "ISO 27001 es un “diamante en bruto" y una inversión que proporciona beneficios de negocio reales", añadió Fribbins.

Más información sobre la norma ISO 27001

Más sobre formación en ISO 27001