Las empresas en el Reino Unido no están respondiendo a la cultura de los empleados que usan sus propios dispositivos móviles para trabajar y están abriendo sus sistemas a los riesgos de seguridad..

Los hallazgos preliminares de la Encuesta sobre brechas de seguridad de la información (ISBS) de 2012, redactados por PwC junto con Infosecurity Europe y respaldados por el departamento de Negocios, Innovación y Habilidades, se publicaron antes del informe completo y los resultados son alarmantes.

  • El 54% de las pequeñas empresas no tienen un programa de concientización sobre seguridad.
  • El 45% de las pequeñas empresas reportaron violaciones de seguridad causadas por el personal.
  • Solo el 26% de los encuestados con una política de seguridad cree que su personal lo comprende muy bien.

Riesgos por violaciones a la seguridad del personal.

Alrededor del 61% de las pequeñas empresas permite que el personal use teléfonos inteligentes y tabletas para conectarse a los sistemas de sus oficinas y, sin embargo, solo el 24% de las pequeñas empresas aplican el cifrado de datos en los dispositivos. Alrededor de la mitad (45%) de las pequeñas empresas reportaron violaciones de seguridad causadas por el personal y el 20% perdió o filtró información confidencial, lo que demuestra que no es una amenaza que puedan ignorar..

La personalización está creando nuevas amenazas de seguridad, tanto de software malicioso como de pérdida de datos, según la encuesta, y las organizaciones que permiten dispositivos de propiedad personal tienden a tener controles más débiles que los que solo permiten dispositivos corporativos.

Chris Potter, socio de seguridad de la información de PwC, dijo:

"Con la explosión de nuevos dispositivos móviles y la confusión de líneas entre el trabajo y la vida personal, las organizaciones están abriendo sus sistemas a un riesgo masivo. Los teléfonos inteligentes y las tabletas a menudo se pierden o son robados, con cualquier información sobre ellos expuestos. Los dispositivos móviles pueden Perfora literalmente directamente a través de sus defensas de seguridad, si no tiene cuidado.

"Sin embargo, las organizaciones no están respondiendo a estos nuevos desafíos. Tal como vimos hace una década con los virus informáticos, las empresas tardan en ajustar sus controles a medida que cambia el uso de la tecnología. Es vital informar a su personal sobre los riesgos. Si no lo hace". Sin embargo, su propia gente podría convertirse inadvertidamente en su peor enemigo de seguridad. Está claro qué tan importantes se han vuelto los teléfonos inteligentes y las tabletas, ya que cada vez se almacenan más datos confidenciales, aumenta la posibilidad de violaciones de datos ".

Politica de seguridad

De manera alarmante, el 54% de las pequeñas empresas no tienen ningún tipo de programa para educar a su personal sobre los riesgos de seguridad. Solo el 26% de los encuestados con una política de seguridad cree que su personal lo entiende muy bien, mientras que el 21% cree que el nivel de comprensión del personal es deficiente. De hecho, el 75% de las organizaciones cuya política de seguridad se entiende mal tuvo violaciones de seguridad relacionadas con el personal en el último año..

Una de cada siete organizaciones que otorgan una prioridad alta o muy alta a la seguridad no han escrito su política; la mayoría de estas son pequeñas empresas que confían en el boca a boca, pero solo un tercio cree que su personal lo entiende completamente. Mientras tanto, aquellas empresas que han invertido en capacitación para la concientización del personal están cosechando los beneficios: tienen cuatro veces más probabilidades de tener personal que entienda claramente la política de seguridad y la mitad de probabilidades de tener brechas de seguridad relacionadas con el personal que organizaciones que no capacitan a su personal..

Chris Potter, socio de seguridad de la información de PwC, dijo:

"Establecer su seguridad es esencial para garantizar que el personal sepa qué riesgos debe observar, cómo manejar los datos de manera adecuada y qué hacer si ocurre una violación. La causa principal de las violaciones de seguridad por parte del personal es a menudo una falla de las organizaciones para invertir en la educación personal sobre riesgos de seguridad. Sin embargo, las organizaciones no promueven una cultura de concientización sobre la seguridad, por lo que el personal a menudo no es consciente de los riesgos que presentan..

"A menudo, las infracciones se producen por ignorancia en lugar de por malicia. La posesión de una política de seguridad por sí sola no evita las infracciones; el personal debe entenderlo y ponerlo en práctica. Los resultados de la encuesta muestran una clara recuperación de los programas de concientización sobre seguridad: la educación conduce a una mayor entendiendo que a su vez conduce a menos violaciones. Desafortunadamente, los resultados de la encuesta también muestran que a menudo se necesita un incidente grave antes de que las compañías entrenen a su personal ".