Campañas de Phishing

Campañas de Phishing

La tribuna

La necesidad de convertir al empleado en la última línea de defensa

17 mayo, 2021 03:22

Las organizaciones de todo el mundo se enfrentan a un panorama de ciberamenazas que evoluciona a gran velocidad, y España no es una excepción. Si los ciberdelincuentes centraban antes sus esfuerzos en atacar redes e infraestructura, ahora son las personas quienes están siendo atacadas.

El 87% de las compañías españolas reconoce haber sufrido al menos un ataque durante el año pasado y más de la mitad registró varios incidentes, entre los cuales destacan la suplantación de identidad, la amenaza interna y el ransomware como principales modus operandi.

Ya sea a través de mensajes fraudulentos, compromiso de cuentas o ingeniería social, los ciberdelincuentes están dirigiéndose hacia lo que para muchas empresas es su última línea de defensa: los empleados. Aunque estos no estén lo debidamente preparados.

Pese a una mayor frecuencia de los ataques, muchas organizaciones siguen sin aplicar una estrategia de ciberdefensa eficaz y la formación de los usuarios en seguridad suele ser inadecuada, por lo que su concienciación también es insuficiente. Se requiere adoptar un nuevo enfoque que ponga en el centro a las personas, asegurándose de que estas no solo puedan detectar y prevenir los ataques, sino que también sepan cuál es su responsabilidad a la hora de proteger a su empresa.

Un cambio de mentalidad

Los ciberataques con foco en las personas demandan una ciberdefensa también centrada en las personas. No basta con saber que los ciberdelincuentes utilizan cada vez más credenciales comprometidas para acceder a cuentas de correo electrónico, información sensible y sistemas corporativos. O que estas credenciales son fraudulentamente obtenidas a menudo por email. Lo que las organizaciones necesitan entender es por qué tienen éxito estos ataques. Y la respuesta está en manos de su propia gente, desde los miembros de dirección hasta los usuarios finales.

Casi la cuarta parte de las personas que recibe un mensaje de phishing lo termina abriendo, lo cual debería preocupar tanto a los CISO como a los CEO. Pero si más del 10% de los usuarios admite hacer clic en los enlaces maliciosos, la situación es aún más alarmante.

Esta brecha de seguridad que conforman las personas dentro de las organizaciones procede de una falta de formación y concienciación acerca de las amenazas, un aspecto de la ciberdefensa que aún no se ha abordado en muchas empresas.

Un 68% de los CSO y CISO españoles cree que el error humano o la falta de concienciación en seguridad presentan el riesgo más importante para sus organizaciones, sin importar el resto de protecciones que haya implementadas al respecto. Pese a los riesgos, casi todos (93%) admiten ofrecer formación a sus empleados sobre las mejores prácticas de ciberseguridad únicamente dos veces al año o menos, junto a un 7% que realiza estos programas tres veces al año o más.

El usuario es el eslabón más débil en la cadena de protección de una empresa.

El usuario es el eslabón más débil en la cadena de protección de una empresa.

No podemos esperar que los empleados sepan lo que hay detrás de las amenazas más comunes si reciben tan poca formación, ni mucho menos que comprendan su papel en la detección y disuasión de tales ataques. En las organizaciones españolas, de hecho, solo el 21% de los responsables de seguridad cree firmemente que su empresa está preparada para un ciberataque, lo cual es un signo de un problema todavía mayor que es la falta de implicación por parte de la dirección en esta materia. Apenas un 20% de los CISO españoles coincide en que la ciberseguridad ha sido una preocupación para los directivos de su organización en 2020. Pero, incluso, más de la mitad de los responsables de seguridad (55%) reconoce que no sabe siquiera quiénes son los empleados más atacados en su propia empresa.

Este posicionamiento tiene que cambiar lo más rápido posible. Antes la ciberdefensa se consideraba una preocupación exclusiva de los equipos de seguridad y quizás tenía sentido cuando los ataques se centraban principalmente en redes e infraestructuras, pero esto ya no es así.

La vulnerabilidad humana es ahora la principal puerta de entrada a las organizaciones. Empleados de todos los niveles y departamentos pueden poner en riesgo a su empresa. Para construir una defensa sólida, debemos hacerles tomar conciencia sobre las amenazas más comunes y educarles acerca de cómo sus acciones pueden marcar la diferencia entre un intento de ataque y sus consecuencias económicas.

El Foro Económico Mundial calcula que, entre 2019 y 2023, estarán en riesgo 5,2 billones de dólares por la actividad de los ciberdelincuentes en todo el mundo. Las cifras nunca habían sido tan altas y es hora de que la formación en ciberseguridad para empleados refleje esta realidad.

Una estrategia de tecnología y personas

Detectar y prevenir ciberataques son dos tareas que recaen más en los usuarios finales, ya sea enfrentándose a impostores que se hacen pasar por conocidos o ante intentos de phishing de lo más convincentes. Por tanto, es necesario colocar a estos usuarios en el centro de toda ciberdefensa.

Si bien las soluciones tecnológicas y los controles son importantes, tan solo cubren una parte de la estrategia en ciberseguridad, que tiene que ser mucho más amplia y profunda. El pilar más importante deberá ser la formación a los empleados de manera continua, completa y adaptada.

Esta capacitación necesita ir más allá de los métodos y las motivaciones de los actuales ciberataques. Se debe inculcar a los empleados un conocimiento detallado acerca de su papel en la protección de las organizaciones. Deben entender que comportamientos simples, como reutilizar contraseñas o manejar datos de forma incorrecta, pueden tener repercusiones significativas y de gran alcance.

El objetivo es crear una cultura de ciberseguridad basada en las mejores prácticas y en la responsabilidad. Una cultura en la que la ciberdefensa sea tarea de todos sin importar el departamento o la categoría de trabajo.

Los ciberdelincuentes atacan a las personas, porque creen que son el eslabón más débil. Y depende de todos asegurarnos de que eso no sea así.

*** Fernando Anaya es Country Manager de Proofpoint.

Ahora en portada

Los tres cofundadores malagueños de la startup Logistiko.

Este software personaliza y automatiza la planificación el reparto de última milla

Anterior
Oportunidades de trading

Dónde invertir en bolsa hoy: CCEP, Banco Sabadell, Repsol y Liberbank

Siguiente

Operar con instrumentos financieros o criptomonedas conlleva altos riesgos, incluyendo la pérdida de parte o la totalidad de la inversión, y puede ser una actividad no recomendada para todos los inversores. Los precios de las criptomonedas son extremadamente volátiles y pueden verse afectadas por factores externos como el financiero, el legal o el político. Operar con apalancamiento aumenta significativamente los riesgos de la inversión. Antes de realizar cualquier inversión en instrumentos financieros o criptomonedas debes estar informado de los riesgos asociados de operar en los mercados financieros, considerando tus objetivos de inversión, nivel de experiencia, riesgo y solicitar asesoramiento profesional en el caso de necesitarlo.

Recuerda que los datos publicados en Invertia no son necesariamente precisos ni emitidos en tiempo real. Los datos y precios contenidos en Invertia no se proveen necesariamente por ningún mercado o bolsa de valores, y pueden diferir del precio real de los mercados, por lo que no son apropiados para tomar decisión de inversión basados en ellos. Invertia no se responsabilizará en ningún caso de las pérdidas o daños provocadas por la actividad inversora que relices basándote en datos de este portal. Queda prohibido usar, guardar, reproducir, mostrar, modificar, transmitir o distribuir los datos mostrados en Invertia sin permiso explícito por parte de Invertia o del proveedor de datos. Todos los derechos de propiedad intelectual están reservados a los proveedores de datos contenidos en Invertia.

© 2024 El León de El Español Publicaciones S.A.