Facebook Linkedin Twitter Instagram Youtube Telegram

La brecha de conocimiento en ciberseguridad: cómo la educación de los trabajadores puede parar un ciberataque

Fernando Anaya, responsable de desarrollo de negocio de Proofpoint para España y Portugal.

AXICOM. PROOFPONT. FERNANDO ANAYAUna estrategia de ciberseguridad sólida se compone de múltiples piezas. Al tiempo que surgen nuevas amenazas y otras evolucionan, las organizaciones necesitan aumentar sus medidas de protección para asegurarse de que están a la altura de las circunstancias. No obstante, a menudo, las empresas pasan por alto una importante línea de defensa en ciberseguridad: las personas.

El hecho de que los trabajadores adquieran conocimientos en esta materia, y entiendan todas sus posibles implicaciones, es tan esencial como cualquier otra política que haya sido implantada dentro de la empresa. El usuario es, a menudo, el primer punto atacado por los cibercriminales, por lo que cuanto más conscientes sean de que su comportamiento puede afectar a la organización, más segura será esta.

Por desgracia, en las empresas no siempre se cuenta con el nivel suficiente de conocimiento sobre ciberseguridad, como así refleja nuestro último estudio sobre phishing elaborado a partir de encuestas a profesionales de 16 sectores diferentes. Repasando una amplia variedad de temas como la protección de datos, el ransomware o la seguridad en redes sociales, los participantes contestaron a un 22% de las preguntas de forma incorrecta, lo que sugiere que uno de cada cinco usuarios posee ciertas lagunas en ciberseguridad de las que pueden aprovecharse los atacantes.

Una de estas brechas de conocimiento es notablemente mayor que otras: una cuarta parte de los encuestados falló a la hora de identificar amenazas de phishing. Si tenemos en cuenta que este tipo de ataques se da en el 32% de los incidentes de seguridad y en el 78% de episodios de ciberespionaje, este resultado puede ser bastante preocupante y, en igual medida, poco sorprendente.

La amenaza constante del ‘phishing’

El phishing se mantiene como una amenaza constante para empresas de cualquier tamaño y sector. De hecho, el 83% de las organizaciones globales experimentaron ataques de phishing durante 2018, y muchos de sus empleados tienen dificultades a la hora de comprender esta amenaza. Los sectores de defensa y seguros obtuvieron las puntuaciones mejores, con un 23% de preguntas fallidas, mientras que el de industria y transporte registraron ambos un 27%.

Curiosamente, estos resultados no se corresponden con la capacidad de los usuarios para detectar un ataque de phishing. La tasa media de error en simulaciones de estas amenazas se sitúa en el 9%, lo que contrasta con el 25% de fallos en preguntas sobre este tipo de ciberataques.

Por eso, aunque las pruebas de simulación de phishing por correo electrónico sean una poderosa herramienta para evaluar los puntos débiles de los usuarios, no ofrecen una fotografía completa de la realidad en torno a estas amenazas. Estas tácticas, por sí solas, no permiten saber el nivel de comprensión de otras áreas claves que pueden contribuir a un ataque, como los hábitos de los usuarios en establecimiento de contraseñas y protección de datos.

Eliminar posibles lagunas en ciberseguridad

Una cosa es detectar las lagunas en ciberseguridad de los usuarios y otra muy distinta, eliminarlas. No existe una solución rápida. Si se pretende incrementar el conocimiento de los empleados al respecto y cambiar su comportamiento, el único plan de acción eficaz pasa por poner en marcha una formación integral y constante, al ritmo de las propias amenazas a las que tengan que enfrentarse las organizaciones.

Este proceso de capacitación de los trabajadores debe incluir evaluaciones periódicas, formación, actividades de refuerzo y medición del nivel de comprensión de los usuarios.

Este enfoque de la ciberseguridad en la empresa ha sido puesto a prueba, comparando en dicho estudio a usuarios en general y a aquellos que han participado en programas de formación.

Los resultados hablan por sí solos: quienes recibían trimestralmente algún tipo de capacitación obtenían mejores resultados que la media y, en algunos casos, superándolos de forma muy significativa.

Resulta alentador, por ejemplo, observar cómo a los usuarios en formación se les da mejor los temas de autenticación de cuentas y seguridad móvil. A medida que los ataques de phishing y el número de cuentas comprometidas van en aumento, las organizaciones deben confiar más que nunca en los usuarios para tomar buenas decisiones de seguridad.

Crear una cultura de conciencia de seguridad

Aquellas organizaciones que no consigan crear una cultura de consciencia y responsabilidad en ciberseguridad tendrán siempre una mayor vulnerabilidad a los ataques. El denominado “factor humano” se establece así como un pilar fundamental en la ciberseguridad de toda empresa.

Para reforzar esta línea de defensa, a veces algo olvidada, las organizaciones necesitan adoptar las siguientes medidas:

  • Impartir formación completa y continua en ciberseguridad a todos los empleados y a todos los niveles. Esto no solo sirve para capacitar a los usuarios acerca de cómo detectar un ataque de phishing, sino que además les advierte de qué hacer en caso de que se produzcan y cómo erradicar cualquier comportamiento que pueda afectar a la seguridad de la empresa.
  • Asegurarse de que los usuarios dispongan de recursos educativos sobre buenas prácticas de ciberseguridad, por ejemplo, a la hora de mantener una correcta gestión de sus contraseñas. No todos los incidentes provienen de un ataque externo, así que es vital enseñar a los empleados a mantener la seguridad de sus datos confidenciales.
  • Hay que abordar los ataques de phishing con la importancia que se merecen. Para ello, resulta clave que los usuarios sepan cómo detectar este tipo de amenazas y qué hacer ante ellas. Aun así, conviene saber que para prevenir más y mejor estos ataques, la formación de ciberseguridad debe ir más allá.
  • Educar a los empleados acerca del «por qué» y el «qué». No se trata únicamente de saber cómo es una amenaza, también es importante conocer cómo funciona, qué motivación hay detrás de ella, así como distintas maneras en las que el comportamiento del usuario puede contribuir a que esta se desarrolle. Esto es algo aplicable a los casos de phishing y a todos los desafíos en seguridad a los que puedan enfrentarse los usuarios.
Picture of Samuel Rodríguez

Samuel Rodríguez

Periodista. Al frente de Ecommerce News desde 2012. Inquieto. Por el camino he creado otros medios como @BigDataMagazine y @CybersecurityNews. Organizador de cientos de eventos profesionales. Ahora con un pie en Portugal y otro en México… Muy del @GetafeCF

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.