Un estudio de Kaspersky Lab concluye que casi todas las violaciones de datos en la nube están causadas por el ser humano
Un informe publicado por el especialista en seguridad Kaspersky Lab, ha revelado que la mayoría de las violaciones de datos en la nube son causadas, no por fallos tecnológicos, por errores humanos. La investigación de la empresa descubrió que la "ingeniería social" del personal fue la causa de 90% de las violaciones de datos en la nube.
La ingeniería social, en el contexto de la seguridad de la información, se refiere a la manipulación psicológica de las personas para que realicen acciones o divulguen información confidencial. (Wikipedia) Sin embargo, los problemas de seguridad asociados a los empleados no son nada nuevo. Según un estudio de Databarracks, en 2015 se identificó el error humano como la principal causa de pérdida de datos en las empresas del Reino Unido.
Violaciones de datos en la nube de las empresas
Mientras tanto, el estudio de Kaspersky sobre las violaciones de seguridad en las empresas reveló que los proveedores de servicios en la nube no son la causa de la mayoría de las violaciones, a pesar de que se perciba lo contrario. Aunque los clientes esperan que los proveedores de la nube sean los responsables últimos de la seguridad de los datos almacenados en sus servidores en la nube, las violaciones de datos suelen deberse a acciones del personal de los clientes.
Kaspersky Lab descubrió que aproximadamente 90% de todas las violaciones de datos corporativos en la nube se deben a técnicas de ingeniería social dirigidas al personal de los clientes, y no a problemas causados por el proveedor de la nube. De hecho, sólo 11% de todos los incidentes pueden atribuirse a las acciones del proveedor de la nube. La firma también informó de que un tercio de los incidentes en la nube son causados por técnicas de ingeniería social que afectan al comportamiento de los empleados, mientras que sólo el 39% de las PYMES y la mitad (47%) de las empresas han implementado una protección a medida para la nube. Y parece que muchas empresas que utilizan servicios en la nube no ajustan correctamente sus políticas de seguridad. "El primer paso para cualquier empresa al migrar a la nube pública es entender quién es el responsable de sus datos empresariales y de las cargas de trabajo que se mantienen en ella", dijo Maxim Frolov, vicepresidente de ventas globales de Kaspersky Lab.
dijo Frolov:
Los proveedores de la nube normalmente cuentan con medidas de ciberseguridad específicas para proteger sus plataformas y a sus clientes, pero cuando una amenaza está en el lado del cliente, ya no es responsabilidad del proveedor, ...Nuestra investigación muestra que las empresas deben estar más atentas a la higiene de la ciberseguridad de sus empleados y tomar medidas que protejan su entorno de la nube desde dentro.
Educación, educación, educación
Kaspersky Lab aconseja a las empresas que utilizan servicios en la nube que tomen las siguientes medidas:
-
Explique al personal que puede ser víctima de ciberamenazas. Hay que educar al personal para que no haga clic en los enlaces ni abra los archivos adjuntos en las comunicaciones de usuarios desconocidos;
-
También se debe educar al personal sobre el uso no aprobado de las plataformas en la nube, y se deben crear procedimientos para la compra y el consumo de infraestructura en la nube para cada departamento,
-
Las empresas deben utilizar soluciones de seguridad de los puntos finales para evitar los vectores de ataque de ingeniería social. Esto significa proteger los servidores de correo, los clientes de correo y los navegadores.
Fuentes y créditos: Kaspersky Labs, Silicio