Seguridad

El error humano, y no los ciberdelincuentes, es la principal causa de infracciones de datos

X-Force Red Labs, los nuevos laboratorios de IBM para probar la seguridad de los dispositivos

Un estudio en Reino Unido demuestra que nada menos que 2.124 incidentes notificados entre 2017 y 2018 se debían a errores o la propia incompetencia de los empleados. Se trata de siete veces más que los problemas de protección de datos causados por los ciberdelincuentes.

¿Quién es más peligroso, un ciberdelincuente o un empleado descuidado? Parece una pregunta sacada de un mal chiste ‘nerd’, pero lo cierto es que esta duda surge cada vez con más fuerza en las organizaciones a tenor de la cruda realidad: muchos trabajadores son el mayor riesgo informático al que tienen que hacer frente.

Los datos vienen a corroborar esta particular impresión. Según un estudio de la firma de seguridad Kroll, con datos de la Oficina del Comisionado de Información británico (ICO), nada menos que 2.124 incidentes notificados entre 2017 y 2018 se debían a errores o la propia incompetencia de los empleados. Se trata de siete veces más que los problemas de protección de datos causados por los ciberdelincuentes. Hagan cuentas.

Un incidente técnico tumba la Bolsa de Londres en su peor fallo en ocho años

Al parecer, los errores más comunes los cometieron personas que enviaban datos por correo electrónico al destinatario equivocado (477 casos) o por correo (441 notificaciones). Sorprendentemente, la pérdida o el robo de documentos fue responsable de otros 438 incidentes de seguridad. Queda claro, por tanto, que el elemento humano en seguridad cibernética nunca debe pasarse por alto y las organizaciones deben protegerse mejor de los empleados que filtran datos por medio de mecanismos como una mayor capacitación y educación en el tema.

Según los datos proporcionados por el ICO británico, el año pasado hubo 3.156 incumplimientos de datos en Reino Unido, un 28% más que el año anterior y un 19,3% más que en el período 2015-2016. Tendencia que, a todas luces, podemos extrapolar perfectamente a España y el resto del globo. Aunque, avisan los autores del informe, estos datos podrían ser también resultado de que -a partir de la entrada en vigor del GDPR- las empresas entienden mejor qué supone una infracción de privacidad y notifiquen con más proactividad cualquier situación sospechosa de serlo.

Por áreas de actividad, el sector de la salud fue el que más infracciones notificó durante el pasado curso, en tanto que en este segmento ya era obligatorio reportar cualquier problema de seguridad incluso antes de la entrada en vigor del GDPR. En total, hubo 1.214 informes realizados por personas que se dedicaban al ámbito sanitario durante el año pasado, seguido por los negocios generales con 362 problemas reportados, educación y cuidado de niños con 354 avisos y el gobierno local con 328 notificaciones.

Sobre el autor de este artículo

Alberto Iglesias Fraga

Periodista especializado en tecnología e innovación que ha dejado su impronta en medios como TICbeat, La Razón, El Mundo, ComputerWorld, CIO España, Business Insider, Kelisto, Todrone, Movilonia, iPhonizate o el blog Think Big, entre otros. También ha sido consultor de comunicación en Indie PR. Ganador del XVI Premio Accenture de Periodismo, ganador del Premio Día de Internet 2018 a mejor marca personal en RRSS y finalista en los European Digital Mindset Awards 2016, 2017 y 2018.