Beyond the Phish es el informe anual de Proofpoint, empresa de ciberseguridad y cumplimiento normativo. Desde la compañía se ha publicado recientemente la cuarta edición de este estudio, donde se ha examinado el grado de comprensión acerca del phishing por parte del usuario final y las mejores prácticas de seguridad cibernética.
Este año, el informe ha encontrado que existen todavía algunas lagunas en los empleados de las organizaciones y que pueden ser aprovechadas por los cibercriminales. Todo esto, a pesar de que los trabajadores están más al tanto de las ciberamenazas y de la necesidad de salvaguardar la información.
“De hecho, el 83% de las organizaciones globales experimentó ataques de phishing durante 2018, de acuerdo al estudio ‘State of the Phish’, también elaborado por Proofpoint, lo que subraya la urgente necesidad de formar a los usuarios finales en ciberseguridad”.
Hay que destacar que el informe Beyond the Phish, en esta oportunidad, se ha basado en el análisis de datos procedentes de encuestas sobre ciberseguridad, con casi 130 millones de preguntas al respecto.
También se ha tomado información referente a la escala de conocimiento de los empleados en 14 categorías sobre el tema, 16 sectores profesionales y más de 20 departamentos de trabajo diferentes.
Amy Baker, vicepresidenta de Desarrollo y estrategia de capacitación en concientización de seguridad de Proofpoint, ha apuntado que los cibercriminales son expertos en recopilar información personal para poder lanzar ataques muy dirigidos y persuasivos contra los individuos.
“Implementar una formación eficaz y constante para concienciar acerca de las ciberamenazas es uno de los pilares fundamentales sobre los cuales se puede crear una cultura de seguridad sólida dentro de las organizaciones”.
A su juicio, educar a los empleados en torno a las mejores prácticas en este ámbito, permitiría capacitarles para que puedan entender cómo proteger tanto sus datos como aquellos de la compañía, formando así una última línea de defensa potente contra los ciberataques.
El phishing sigue atacando
Los ataques de phishing, de acuerdo al comunicado de prensa de Proofpoint, siguen siendo una de las grandes preocupaciones en organizaciones de todo el mundo.
En este estudio, como dato general, los encuestados han respondido de forma incorrecta a una de cada cuatro preguntas sobre cómo identificar este tipo de amenazas y qué hacer para proteger los datos durante su ciclo de vida.
Entre otras conclusiones, el informe de Proofpoint “Beyond the Phish” también ha destacado que, por departamentos, los profesionales de la Comunicación han tenido el mejor desempeño al responder correctamente al 84% de las preguntas sobre ciberseguridad.
El financiero, en cuanto a los sectores, ha destacado al responder su personal el 80% de la encuesta de manera acertada. Los usuarios finales del sector asegurador igualmente han conseguido los mejores resultados en tres de las 14 categorías analizadas en el estudio, sobresaliendo especialmente en el apartado referente a evitar ataques de ransomware.
“Los departamentos con peores resultados fueron los de atención al cliente, instalaciones y seguridad, ya que respondieron de forma incorrecta en torno al 25% de las preguntas. Dentro del departamento de seguridad mencionado, podrían figurar tanto profesionales relacionados con la seguridad física como de ciberseguridad”.
Por otra parte, los usuarios finales de educación y transporte han presentado mayores dificultades a la hora de responder la encuesta, con una media de fallos en el 24% de las preguntas en todas las categorías. Entre tanto, los empleados de la industria hotelera han obtenido la peor puntuación en tres categorías, incluyendo la de riesgos en seguridad física con un 22% de respuestas erróneas.
Formación profesional en ciberseguridad
Baker ha añadido que las organizaciones tienen que ser persistentes y rigurosas en sus programas para concienciar a los empleados sobre ciberseguridad, puesto que el comportamiento de ellos influye y tiene un gran impacto en la seguridad en general.
Es por eso que este informe anual ha reiterado la necesidad de ir más allá de pruebas de phishing con las que evaluar la susceptibilidad y el conocimiento sobre ciberamenazas por parte de los usuarios finales.
“Es importante recordar que no todos los incidentes de seguridad provienen de un ataque. Hay muchos que son causados por tener un escaso conocimiento sobre los mismos, así como por llevar a cabo malas prácticas de seguridad”.
La investigación, sin embargo, ha mostrado un aumento significativo de comportamientos responsables en los casos donde las organizaciones adoptan un enfoque bien gestionado y continuo para formar a sus empleados sobre cualquier aspecto de la ciberseguridad.
Compañías de todo el mundo, según la Vicepresidenta de Desarrollo y estrategia de capacitación en concientización de seguridad de Proofpoint, han confiado en la empresa para formar a sus empleados acerca de las últimas amenazas y las mejores prácticas de ciberseguridad.
“Es imperativo desarrollar una educación efectiva al respecto, puesto que los cibercriminales ya no atacan a la infraestructura de TI de la organización, sino que tienen como objetivo a los individuos, lo que hace imprescindible un enfoque de la ciberseguridad centrado en las personas”.
Algunas soluciones como Security Awareness Training, de Proofpoint, justamente ofrecen formación sobre ciberseguridad personalizada basándose en una inteligencia sobre amenazas, con el objetivo de ayudar a las organizaciones a proporcionar la formación adecuada a cada persona.