Identificación de phishing y protección de datos, áreas de ciberseguridad más problemáticas para los usuarios finales
Los encuestados en un estudio respondieron de forma incorrecta a una de cada cuatro preguntas sobre ciberamenazas de suplantación de identidad, lo que subraya la necesidad de formar continuamente a los individuos para reducir riesgos significativamente.
Proofpoint, una de las empresas líderes en ciberseguridad y cumplimiento normativo, ha publicado su cuarto informe anual “Beyond the Phish”, en el que examina cuál es el grado de comprensión por parte del usuario final acerca del phishing y las mejores prácticas de ciberseguridad. Este informe se basa en el análisis de datos procedentes de encuestas sobre ciberseguridad, con casi 130 millones de preguntas al respecto, además de información referente al nivel de conocimiento de los empleados en 14 categorías sobre el tema, 16 sectores profesionales y más de 20 departamentos de trabajo diferentes.
“Los cibercriminales son expertos en recopilar información personal para poder lanzar ataques muy dirigidos y persuasivos contra los individuos”, apunta Amy Baker, vicepresidenta de Security Awareness Training Strategy & Development de Proofpoint. “Implementar una formación eficaz y constante para concienciar acerca de las ciberamenazas es uno de los pilares fundamentales sobre los cuales se puede crear una cultura de seguridad sólida dentro de las organizaciones. Educar a los empleados en torno a las mejores prácticas en este ámbito permite capacitarles para que puedan entender cómo proteger tanto sus datos como los de la compañía, formando así una última línea de defensa potente contra los ciberataques”.
Los ataques de phishing siguen siendo una de las grandes preocupaciones en organizaciones de todo el mundo. Como dato general, en este estudio de Proofpoint, los encuestados respondieron de forma incorrecta a una de cada cuatro preguntas sobre cómo identificar este tipo de amenazas y qué hacer para proteger los datos durante su ciclo de vida. El informe “Beyond the Pish” revela que, pese a que los empleados están ahora más al tanto de las ciberamenazas y de la necesidad de salvaguardar la información, existen todavía algunas lagunas de las que pueden aprovecharse los cibercriminales. De hecho, el 83% de las organizaciones globales experimentó ataques de phishing durante 2018, de acuerdo al estudio “State of the Phish”, también elaborado por Proofpoint, lo que subraya la urgente necesidad de formar a los usuarios finales en ciberseguridad.
El informe de Proofpoint “Beyond the Phish” destaca además estas otras conclusiones:
• Por departamentos, los profesionales de comunicación tuvieron el mejor desempeño en el estudio, respondiendo correctamente al 84% de las preguntas sobre ciberseguridad.
• En cuanto a sectores, destaca el financiero, cuyo personal respondió de manera acertada al 80% de la encuesta.
• Los usuarios finales del sector asegurador consiguieron los mejores resultados en tres de las 14 categorías analizadas en el estudio, sobresaliendo especialmente en el apartado referente a evitar ataques de ransomware.
• Los departamentos con peores resultados fueron los de atención al cliente, instalaciones y seguridad, ya que respondieron de forma incorrecta en torno al 25% de las preguntas. Dentro del departamento de seguridad mencionado, podrían figurar tanto profesionales relacionados con la seguridad física como de ciberseguridad.
• Los usuarios finales de educación y transporte presentaron mayores dificultades a la hora de responder la encuesta, con una media de fallos en el 24% de las preguntas en todas las categorías.
• Los empleados de la industria hotelera obtuvieron la peor puntuación en tres categorías, incluyendo la de riesgos en seguridad física con un 22% de respuestas erróneas.
“Las organizaciones tienen que ser persistentes y rigurosas en sus programas para concienciar a los empleados sobre ciberseguridad, puesto que el comportamiento de estos influye y tiene un gran impacto en la seguridad en general. Este informe anual reitera la necesidad de ir más allá de pruebas de phishing con las que evaluar la susceptibilidad y el conocimiento sobre ciberamenazas por parte de los usuarios finales”, añade Baker. “Es importante recordar que no todos los incidentes de seguridad provienen de un ataque. Hay muchos que son causados por tener un escaso conocimiento sobre los mismos, así como por llevar a cabo malas prácticas de seguridad. No obstante, nuestra investigación muestra un aumento significativo de comportamientos responsables en los casos donde las organizaciones adoptan un enfoque bien gestionado y continuo para formar a sus empleados sobre cualquier aspecto de la ciberseguridad”.