La implantación de medidas tecnológicas de ciberseguridad es tan importante. Pero no hay que descuidar la implementación de medidas organizativas que ayuden a la sensibilización, formación, concienciación y educación de todos los miembros de la organización.
Es por ello por lo que son cada vez más habituales los ataques basados en ingeniería social, cuyo objetivo es engañar al personal de la organización o provocar errores en la gestión interna de la información al objeto de que el ciberataque tenga éxito.
No en vano se dice que “el usuario es el eslabón más débil de la cadena” en lo que a ciberseguridad se refiere.
Las empresas no solo deben innovar para sobrevivir y prosperar, también deben estar seguras de que sus datos, aplicaciones y clientes son seguros. La seguridad debe ser una parte integral de cualquier programa de innovación. Sin el componente de seguridad del programa de innovación, las empresas corren el riesgo de infracciones de datos, insatisfacción del cliente y daño a la marca.
El origen de las amenazas que provocan las fugas de información puede ser tanto externo como interno.
- Origen interno: dentro de este punto incluimos las fugas de información ocasionadas por empleados propios de la empresa, ya sea de forma inconsciente (por desconocimiento o por error) o dolosa (en el caso de empleados de la propia organización que voluntariamente facilitan el acceso o revelan tal información a terceros sin autorización, lo que comúnmente se conoce por “insider”)
- Origen externo: en este grupo incluimos amenazas que provienen de fuera de nuestra organización y que tienen por objetivo acceder de manera ilícita a información confidencial.
La falta de conocimiento y formación son otra de las causas más comunes de la fuga de información. Esta circunstancia facilita la producción de errores por parte de los integrantes de la empresa quienes, por un lado, deben utilizar los recursos que la organización pone a su disposición de forma responsable y diligente.
Otra causa organizativa es la ausencia de procedimientos y de pautas u obligaciones para los trabajadores en el ámbito de ciberseguridad. El establecimiento de políticas que indiquen al usuario claramente cuáles son los límites dentro de los cuales deberán desempeñar su actividad y, por otro lado, los procedimientos para aquellas actividades de especial importancia o riesgo disminuirán el riesgo de que se produzca una fuga de información.
Por último, también la inexistencia de acuerdos de confidencialidad con la plantilla es un elemento que fomenta la producción de fugas de datos. Es importante solicitar por escrito la conformidad de los empleados con normas internas de esta naturaleza, como pueden ser la política de confidencialidad o de seguridad, entre otras, de manera que el futuro empleado, acepte por escrito las políticas y condiciones de privacidad y seguridad aplicables a la organización.