Forcepoint, líder mundial en ciberseguridad, ha demostrado en un estudio que el 35% de los empleados de Reino Unido, Francia, Alemania e Italia admiten haber estados involucrados en incumplimientos de seguridad, suponiendo esto un desafío importante para los CISO a la hora de proteger los datos de la empresa, particularmente con el nuevo Reglamento Europeo de Protección de Datos que entrará en vigor el próximo 2018. La nueva legislación no sólo obligará a notificar una infracción antes de las 72 horas, sino que también aplicará medidas estrictas en forma de multas económicas por faltas graves que pueden llegar a suponer el 4% del volumen anual de negocio.
Mientras los incidentes e informes al respecto han contribuido a poner de relieve los problemas de seguridad de los CISO europeos, ya que no ha habido una amplia investigación y al detalle sobre este tema. Por esto, Forcepoint ha realizado una encuesta independiente a más de 4.000 trabajadores de Reino Unido, Francia, Alemania e Italia, con la finalidad de comprender mejor las actitudes hacia la protección de datos y el número de amenazas internas, de malware y, también, accidentales.
Las conclusiones son el resultado de la actividad intencional y accidental de los empleados, ya sean con intenciones maliciosas, negligencias, escasa conciencia sobre la seguridad o políticas corporativas ineficaces que emergen como brechas de seguridad. En particular, la investigación ha revelado niveles inquietantes de comportamientos de riesgo entre los empleados dentro de las empresas:
• El 14% de los trabajadores pondría en riesgo su trabajo vendiendo las contraseñas de la empresa y un 40% lo haría por menos de 200 libras. Un 55% de los encuestados en Reino Unido compartiría sus credenciales por esa cantidad.
• Un poco menos de un tercio de los encuestados, el 29%, han enviado deliberadamente información no autorizada a un tercero, mientras que el 15% de los trabajadores europeos se ha llevado información crítica de un trabajo a otro, planeándola usar el 59% en su otro empleo
Sin embargo, los resultados también muestran una grave falta de conciencia por parte de los empleados sobre cómo su comportamiento pueden aumentar los riesgos de seguridad en los datos que hay en su empresa:
• Cerca de la mitad (50%) de los trabajadores europeos no creen que su empresa sea actualmente vulnerable a una amenaza de seguridad causada de forma interna, mientras que el 32% desconocen o no están seguros de las consecuencias por una violación de sus datos.
• Casi una cuarta parte (22%) no cree que las violaciones de datos sean por parte de los empleados, o no están seguros. En Francia y en Reino Unido se han visto los niveles más bajos de conocimiento sobre las consecuencias de esto.
• El 39% de los empleados europeos afirman no haber recibido la información sobre protección de datos y más de una cuarta parte (27%) de las empresas carecen de políticas de seguridad para evitar la pérdida de éstos o, simplemente, no las cumplen.
La encuesta también ha revelado tendencias en toda Europa, tales como:
• Los encuestados italianos (45%) tienen más probabilidades de incumplir la seguridad de la empresa, en comparación con sólo el 27% de los británicos.
• El 36% de los franceses son más propensos a sentir que su empresa es vulnerable a las amenazas de seguridad internas y externas, muchos más que los italianos (33%) o los británicos (22%), y más del doble que los trabajadores alemanes (15%).
• La nube es un punto de incertidumbre cuando se habla de seguridad. En Reino Unido el 55% no está seguro sobre si sus datos son más o menos seguros en este tipo de despliegue y el 38% no tiene en consideración la seguridad antes de cargar archivos. Francia se sitúa en un 52% y un 33% respectivamente, Italia un 33% y un 17% y, por último, Alemania con un 33% y un 21% cada uno.
• La necesidad de aprender en cuanto a materia de protección de datos está generalizada. Casi la mitad de los franceses nunca ha recibido formación, como tampoco un 41% de los británicos, un 37% de los alemanes y un 31% de los italianos.
“La investigación ha demostrado que las violaciones de seguridad provocadas por los empleados están entre las más perjudiciales en cuanto a impacto financiero y de reputación. Las empresas que ignoran estos posibles riesgos de seguridad pierden la oportunidad de fortalecer su ciberseguridad y proteger a su organización de una forma más amplia”, ha asegurado Mike Smart, Director de Productos y Soluciones de Forcepoint.