Una de les principals preocupacions de les empreses ha estat la protecció contra les amenaces digitals. I fins i tot adoptant una sèrie de mesures, aplicacions i solucions innovadores per prevenir intrusions i robatoris de dades, la qüestió no només depèn de tecnologies avançades, sinó també del comportament humà. Així ho afirma l'expert en ciberseguretat Leonardo Baiardi de dataRain, que assenyala que el 74% dels ciberatacs són causats per factors humans. L'executiu destaca com una formació adequada dels empleats pot ser essencial per a una estratègia de seguretat eficaç.
Baiardi considera que l'ésser humà és l'enllaç més feble quan es tracta de riscos cibernètics en un entorn corporatiu. "Tothom a l'empresa ha d'entendre que és responsable de la seguretat de les dades, i això només s'aconsegueix mitjançant la formació, la responsabilitat i la comunicació entre departaments. Tothom ha de ser conscient dels riscos als quals està exposat."
L'opinió de l'expert complementa el que es va trobar a l'Informe de Factors Humans de Proofpoint del 2023, que destaca el paper significatiu dels factors humans en les vulnerabilitats de seguretat. L'estudi revela un augment de dotze vegades en el volum d'atacs d'enginyeria social a través de dispositius mòbils, un tipus d'atac que comença amb missatges aparentment inofensius, generant relacions. Això passa, segons Baiardi, perquè el comportament humà pot ser manipulat. "Com va dir el llegendari hacker Kevin Mitnick, la ment humana és l'actiu més fàcil de piratejar. Al cap i a la fi, els éssers humans posseeixen una capa emocional altament susceptible a la influència externa, que pot conduir a accions precipitades com ara fer clic a enllaços maliciosos o compartir informació sensible", diu.
Els kits de phishing dissenyats per eludir l'autenticació multifactor (MFA) i els atacs basats en el núvol, en què aproximadament el 94% dels usuaris són objectiu cada mes, també es troben entre les amenaces registrades amb més freqüència a l'informe.
Errors més comuns
Entre els errors més comuns que provoquen bretxes de seguretat, Baiardi enumera: no verificar l'autenticitat dels correus electrònics; deixar els ordinadors desbloquejats; utilitzar xarxes Wi-Fi públiques per accedir a la informació corporativa; i endarrerir les actualitzacions de programari.
«Aquests comportaments poden obrir portes a intrusions i comprometre dades», explica. Per evitar caure en estafes, l'expert recomana evitar fer clic en enllaços sospitosos. Per tant, suggereix comprovar el remitent, el domini del correu electrònic i la urgència del missatge. «Si encara hi ha dubtes, un consell és deixar el punter del ratolí sobre l'enllaç sense fer clic, cosa que permet veure l'URL completa. Si sembla sospitós, probablement és maliciós», aconsella.
Suplantació d'identitat (phishing)
El phishing és una de les majors amenaces cibernètiques, que utilitza el correu electrònic corporatiu com a vector d'atac. Per protegir-se'n, Baiardi suggereix un enfocament per capes: conscienciació i formació dels empleats, a més de mesures tècniques sòlides.
Mantenir el programari i els sistemes operatius actualitzats és vital per reduir les vulnerabilitats. "Cada dia sorgeixen noves vulnerabilitats. La manera més senzilla de reduir els riscos és mantenir els sistemes actualitzats. En entorns crítics, on les actualitzacions constants no són possibles, cal una estratègia més robusta."
Proporciona un exemple real de com una formació eficaç ajuda a prevenir els atacs. "Després d'implementar simulacions i formació de phishing, vam observar un augment significatiu en les denúncies d'intents de phishing per part dels empleats, demostrant un sentit crític més refinat davant les amenaces".
Per mesurar l'eficàcia de la formació, Baiardi suggereix definir un abast clar i dur a terme simulacions periòdiques amb mètriques predefinides. "Cal mesurar la quantitat i la qualitat de les respostes dels empleats a possibles amenaces".
L'executiu cita un informe de l'empresa d'educació en ciberseguretat Knowbe4, que mostra que el Brasil anava per darrere de països com Colòmbia, Xile, Equador i Perú. L'enquesta del 2024 destaca el problema que els empleats entenen la importància de la ciberseguretat, però no comprenen realment com operen i funcionen les amenaces. Per tant, emfatitza la importància de la cultura organitzativa per promoure pràctiques segures: "Sense un programa de cultura de ciberseguretat ben implementat, és impossible mesurar el nivell de maduresa que posseeix una empresa en aquest aspecte".
L'especialista també és responsable de liderar el lliurament d'ofertes de ciberseguretat promogudes per dataRain, que proporciona solucions robustes i ràpides d'implementar com ara seguretat del correu electrònic, avaluacions de compliment i vulnerabilitats, seguretat de punts finals i governança del núvol. "La ciberseguretat és un repte continu, i les persones són fonamentals per garantir la protecció de la informació i la integritat dels sistemes. Invertir en formació i conscienciació és invertir en la seguretat de tota l'organització. I tots els nostres lliuraments van acompanyats de transferència de coneixement, cosa que ens permet augmentar la consciència del client sobre les amenaces", conclou.
