Enpresen kezka nagusietako bat mehatxu digitalen aurkako babesa izan da. Eta intrusioak eta datuen lapurretak saihesteko neurri, aplikazio eta irtenbide berritzaile sorta bat hartu arren, arazoa ez da soilik teknologia aurreratuen mende, baita giza portaeraren mende ere. Hori dio dataRain-eko zibersegurtasun aditu Leonardo Baiardik, eta adierazi du zibererasoen % 74 giza faktoreek eragiten dituztela. Zuzendariak azpimarratzen du langileen prestakuntza egokia ezinbestekoa izan daitekeela segurtasun estrategia eraginkor bat lortzeko.
Baiardik uste du gizakia dela katebegi ahulena enpresa-ingurune batean ziber-arriskuei aurre egitean. "Enpresako guztiek ulertu behar dute datuen segurtasunaren arduradunak direla, eta hori prestakuntzaren, erantzukizunaren eta departamentuen arteko komunikazioaren bidez bakarrik lortzen da. Denek jakin behar dute zein arrisku jasaten dituzten".
Adituaren iritziak Proofpoint-en 2023ko Giza Faktoreen Txostenean aurkitutakoa osatzen du, eta txosten horrek giza faktoreek segurtasun-ahultasunetan duten garrantzia azpimarratzen du. Ikerketak agerian uzten du gailu mugikorren bidezko ingeniaritza sozialeko erasoen bolumena hamabi aldiz handitu dela, itxuraz kaltegabeak diren mezuekin hasten den eraso mota bat, harremanak sortuz. Hori gertatzen da, Baiardiren arabera, giza portaera manipulatu daitekeelako. "Kevin Mitnick hacker mitikoak esan zuen bezala, giza adimena da hackeatzeko aktiborik errazena. Azken finean, gizakiek kanpoko eraginarekiko oso sentikorra den geruza emozional bat dute, eta horrek ekintza ausartak ekar ditzake, hala nola esteka gaiztoetan klik egitea edo informazio sentikorra partekatzea", dio.
Txostenean gehien erregistratutako mehatxuen artean daude faktore anitzeko autentifikazioa (MFA) saihesteko diseinatutako phishing kitak eta hodeian oinarritutako erasoak, non hilero erabiltzaileen % 94 inguru jomugan diren.
Akats ohikoenak
Segurtasun-urraketak eragiten dituzten akats ohikoenen artean, Baiardik hauek zerrendatzen ditu: mezu elektronikoen benetakotasuna ez egiaztatzea; ordenagailuak desblokeatuta uztea; Wi-Fi sare publikoak erabiltzea enpresaren informaziora sartzeko; eta softwarearen eguneraketak atzeratzea.
«Jokabide hauek intrusioetarako eta datuak arriskuan jartzeko ateak ireki ditzakete», azaldu du. Iruzurretan erortzea saihesteko, adituak esteka susmagarrietan klik egitea saihestea gomendatzen du. Horregatik, igorlea, posta elektronikoaren domeinua eta mezuaren premia egiaztatzea gomendatzen du. «Zalantzarik badago oraindik, aholku bat da saguaren erakuslea estekaren gainean uztea klik egin gabe, URL osoa ikusteko aukera emanez. Susmagarria iruditzen bada, ziurrenik gaiztoa da», aholkatzen du.
Phishing-a
Phishing-a zibermehatxu handienetako bat da, enpresako posta elektronikoa eraso-bektore gisa erabiltzen duena. Horren aurka babesteko, Baiardik geruza anitzeko ikuspegia proposatzen du: langileentzako kontzientziazioa eta prestakuntza, neurri tekniko sendoez gain.
Softwarea eta sistema eragileak eguneratuta mantentzea ezinbestekoa da ahultasunak murrizteko. “Egunero sortzen dira ahultasun berriak. Arriskuak murrizteko modurik errazena sistemak eguneratuta mantentzea da. Misio kritikoetarako inguruneetan, non etengabeko eguneratzeak posible ez diren, estrategia sendoago bat behar da.”
Benetako adibide bat eskaintzen du prestakuntza eraginkorrak erasoak saihesteko duen moduari buruz. "Phishing simulazioak eta prestakuntza ezarri ondoren, langileen phishing saiakeren salaketen igoera nabarmena ikusi genuen, mehatxuen aurrean zentzu kritiko finduagoa erakutsiz".
Prestakuntzaren eraginkortasuna neurtzeko, Baiardik esparru argi bat definitzea eta aurrez zehaztutako metrikekin aldizkako simulazioak egitea iradokitzen du. "Beharrezkoa da langileek mehatxu potentzialei ematen dizkieten erantzunen kantitatea eta kalitatea neurtzea".
Zuzendariak Knowbe4 zibersegurtasun hezkuntza enpresaren txosten bat aipatzen du, eta txosten horrek erakusten du Brasil Kolonbia, Txile, Ekuador eta Peru bezalako herrialdeen atzetik zegoela. 2024ko inkestak langileek zibersegurtasunaren garrantzia ulertzen dutela azpimarratzen du, baina ez dute benetan ulertzen mehatxuek nola funtzionatzen duten eta nola funtzionatzen duten. Horregatik, erakundearen kulturaren garrantzia azpimarratzen du praktika seguruak sustatzeko: "Zibersegurtasun kulturaren programa ondo ezarri gabe, ezinezkoa da enpresa batek alderdi honetan duen heldutasun maila neurtzea".
Espezialistak dataRainek sustatzen dituen zibersegurtasun eskaintzen kudeaketa ere zuzentzeaz arduratzen da, eta horrek irtenbide sendo eta azkar ezartzekoak eskaintzen ditu, hala nola, posta elektronikoaren segurtasuna, betetze eta ahultasun ebaluazioak, amaierako puntuen segurtasuna eta hodeiko gobernantza. "Zibersegurtasuna etengabeko erronka bat da, eta pertsonak funtsezkoak dira informazioaren babesa eta sistemen osotasuna bermatzeko. Prestakuntzan eta sentsibilizazioan inbertitzea erakunde osoaren segurtasunean inbertitzea da. Eta gure entrega guztiek ezagutza transferentziarekin batera doaz, eta horrek bezeroaren mehatxuen inguruko kontzientzia handitzea ahalbidetzen digu", amaitzen du.
