La brecha de conocimiento en ciberseguridad: cómo la educación de los trabajadores puede parar un ciberataque

23 septiembre, 2019
10 Compartido 1,385 Visualizaciones

Fernando Anaya, responsable de desarrollo de negocio de Proofpoint para España y Portugal.

AXICOM. PROOFPONT. FERNANDO ANAYAUna estrategia de ciberseguridad sólida se compone de múltiples piezas. Al tiempo que surgen nuevas amenazas y otras evolucionan, las organizaciones necesitan aumentar sus medidas de protección para asegurarse de que están a la altura de las circunstancias. No obstante, a menudo, las empresas pasan por alto una importante línea de defensa en ciberseguridad: las personas.

El hecho de que los trabajadores adquieran conocimientos en esta materia, y entiendan todas sus posibles implicaciones, es tan esencial como cualquier otra política que haya sido implantada dentro de la empresa. El usuario es, a menudo, el primer punto atacado por los cibercriminales, por lo que cuanto más conscientes sean de que su comportamiento puede afectar a la organización, más segura será esta.

Por desgracia, en las empresas no siempre se cuenta con el nivel suficiente de conocimiento sobre ciberseguridad, como así refleja nuestro último estudio sobre phishing elaborado a partir de encuestas a profesionales de 16 sectores diferentes. Repasando una amplia variedad de temas como la protección de datos, el ransomware o la seguridad en redes sociales, los participantes contestaron a un 22% de las preguntas de forma incorrecta, lo que sugiere que uno de cada cinco usuarios posee ciertas lagunas en ciberseguridad de las que pueden aprovecharse los atacantes.

Una de estas brechas de conocimiento es notablemente mayor que otras: una cuarta parte de los encuestados falló a la hora de identificar amenazas de phishing. Si tenemos en cuenta que este tipo de ataques se da en el 32% de los incidentes de seguridad y en el 78% de episodios de ciberespionaje, este resultado puede ser bastante preocupante y, en igual medida, poco sorprendente.

La amenaza constante del ‘phishing’

El phishing se mantiene como una amenaza constante para empresas de cualquier tamaño y sector. De hecho, el 83% de las organizaciones globales experimentaron ataques de phishing durante 2018, y muchos de sus empleados tienen dificultades a la hora de comprender esta amenaza. Los sectores de defensa y seguros obtuvieron las puntuaciones mejores, con un 23% de preguntas fallidas, mientras que el de industria y transporte registraron ambos un 27%.

Curiosamente, estos resultados no se corresponden con la capacidad de los usuarios para detectar un ataque de phishing. La tasa media de error en simulaciones de estas amenazas se sitúa en el 9%, lo que contrasta con el 25% de fallos en preguntas sobre este tipo de ciberataques.

Por eso, aunque las pruebas de simulación de phishing por correo electrónico sean una poderosa herramienta para evaluar los puntos débiles de los usuarios, no ofrecen una fotografía completa de la realidad en torno a estas amenazas. Estas tácticas, por sí solas, no permiten saber el nivel de comprensión de otras áreas claves que pueden contribuir a un ataque, como los hábitos de los usuarios en establecimiento de contraseñas y protección de datos.

Eliminar posibles lagunas en ciberseguridad

Una cosa es detectar las lagunas en ciberseguridad de los usuarios y otra muy distinta, eliminarlas. No existe una solución rápida. Si se pretende incrementar el conocimiento de los empleados al respecto y cambiar su comportamiento, el único plan de acción eficaz pasa por poner en marcha una formación integral y constante, al ritmo de las propias amenazas a las que tengan que enfrentarse las organizaciones.

Este proceso de capacitación de los trabajadores debe incluir evaluaciones periódicas, formación, actividades de refuerzo y medición del nivel de comprensión de los usuarios.

Este enfoque de la ciberseguridad en la empresa ha sido puesto a prueba, comparando en dicho estudio a usuarios en general y a aquellos que han participado en programas de formación.

Los resultados hablan por sí solos: quienes recibían trimestralmente algún tipo de capacitación obtenían mejores resultados que la media y, en algunos casos, superándolos de forma muy significativa.

Resulta alentador, por ejemplo, observar cómo a los usuarios en formación se les da mejor los temas de autenticación de cuentas y seguridad móvil. A medida que los ataques de phishing y el número de cuentas comprometidas van en aumento, las organizaciones deben confiar más que nunca en los usuarios para tomar buenas decisiones de seguridad.

Crear una cultura de conciencia de seguridad

Aquellas organizaciones que no consigan crear una cultura de consciencia y responsabilidad en ciberseguridad tendrán siempre una mayor vulnerabilidad a los ataques. El denominado “factor humano” se establece así como un pilar fundamental en la ciberseguridad de toda empresa.

Para reforzar esta línea de defensa, a veces algo olvidada, las organizaciones necesitan adoptar las siguientes medidas:

  • Impartir formación completa y continua en ciberseguridad a todos los empleados y a todos los niveles. Esto no solo sirve para capacitar a los usuarios acerca de cómo detectar un ataque de phishing, sino que además les advierte de qué hacer en caso de que se produzcan y cómo erradicar cualquier comportamiento que pueda afectar a la seguridad de la empresa.
  • Asegurarse de que los usuarios dispongan de recursos educativos sobre buenas prácticas de ciberseguridad, por ejemplo, a la hora de mantener una correcta gestión de sus contraseñas. No todos los incidentes provienen de un ataque externo, así que es vital enseñar a los empleados a mantener la seguridad de sus datos confidenciales.
  • Hay que abordar los ataques de phishing con la importancia que se merecen. Para ello, resulta clave que los usuarios sepan cómo detectar este tipo de amenazas y qué hacer ante ellas. Aun así, conviene saber que para prevenir más y mejor estos ataques, la formación de ciberseguridad debe ir más allá.
  • Educar a los empleados acerca del «por qué» y el «qué». No se trata únicamente de saber cómo es una amenaza, también es importante conocer cómo funciona, qué motivación hay detrás de ella, así como distintas maneras en las que el comportamiento del usuario puede contribuir a que esta se desarrolle. Esto es algo aplicable a los casos de phishing y a todos los desafíos en seguridad a los que puedan enfrentarse los usuarios.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

El decálogo de riesgos  que presentan los entornos en la nube
Actualidad
23 compartido2,224 visualizaciones
Actualidad
23 compartido2,224 visualizaciones

El decálogo de riesgos que presentan los entornos en la nube

Vicente Ramírez - 3 octubre, 2019

    El rápido ritmo de cambio, el mal uso de los recursos consumidos o las variaciones regulatorias, algunos de…

Hoteles europeos: objetivo de los hackers rusos
Actualidad
472 visualizaciones
Actualidad
472 visualizaciones

Hoteles europeos: objetivo de los hackers rusos

Redacción - 19 agosto, 2017

Una campaña de malware está atacando las redes Wi-Fi de los hoteles para obtener inforación de los alojados así como…

“Somos algo así como el Moody´s de la ciberseguridad”
Actualidad
26 compartido2,644 visualizaciones
Actualidad
26 compartido2,644 visualizaciones

“Somos algo así como el Moody´s de la ciberseguridad”

Vicente Ramírez - 21 mayo, 2019

El concepto de ciberseguridad cada vez es más asumido como una inversión que como un gasto. Parte de culpa la…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.