Cuando se habla de seguridad informática se dice: “la empresa sufrió un ataque”. Tal afirmación indicaría que la compañía fue víctima de algún malvado que, a propósito, jugó una mala pasada.

Si bien es cierto que a veces un hacker o empleado malintencionado vulnera los sistemas de seguridad informática de la empresa para generar algún perjuicio (obtener información confidencial, por ejemplo), también es cierto que es altísimo el porcentaje de incidentes de seguridad de una compañía provocados por sus trabajadores.

De acuerdo con un estudio reciente de IDC, el 52% de las organizaciones encuestadas califica sus amenazas internas en seguridad como meros accidentes, mientras que el 19% cree que son intencionadas, el 26% piensa que pueden darse ambos casos y el 3% restante se muestra indeciso.

De aquí se desprenden varias conclusiones: la primera, que hay que no hay que concentrarse solamente en disminuir los riesgos de los ataques externos, puesto que, aunque usted no lo crea, está ampliamente demostrado que la mayoría vienen desde adentro, por eso hay que tomar todos los recaudos posibles para disminuir las chances de éxito de los empleados malintencionados que buscan provocar daño a la organización o vender información valiosa a la competencia, entre otros.

En segundo lugar, es necesario capacitar al personal con respecto a la seguridad de la información puesto que es muy alto el número de incidentes producidos involuntariamente. A tal fin, existen firmas especializadas que dictan cursos donde se enseñan algunas buenas prácticas en la materia. Lógicamente, la capacitación no debe quedarse en la teoría, sino que es necesario implementar lo aprendido y, por qué no, actualizar los conocimientos periódicamente.

En resumen, la seguridad es responsabilidad de todos los que trabajan en una empresa, y no sólo del departamento de seguridad. Por tal motivo, para estar más segura, una compañía debe adoptar una estrategia integral que mitigue los riesgos internos tanto accidentales como intencionados.