¿Cuál es el propósito principal de la capacitación en concientización sobre seguridad?

Publicado: 2021-05-22

¿Cuál es el propósito principal de la capacitación en concientización sobre seguridad? Para evitar que se produzcan ciberataques evitables. Las empresas que emplean capacitación en concientización sobre seguridad ven mejoras en su capacidad para defenderse de los ataques y evitar daños.

Entonces, ha identificado que le falta ciberseguridad, tiene un antivirus de última generación, o una solución de monitoreo de punto final, o quizás una solución BDR para sus datos más confidenciales.

Todo listo, ¿verdad?

Equivocado. Las empresas en 2021 continúan cometiendo un error crucial en su enfoque de la ciberseguridad: olvidar que su personal es la mayor amenaza para su negocio.

Publicación relacionada: Por qué la conciencia de seguridad es crucial para el futuro

Por qué el personal es su mayor amenaza y qué puede hacer al respecto se abordará en esta publicación de blog, donde analizamos si los empleados son un cuello de botella para la ciberseguridad.

¿Por qué importa esto?

La razón por la que estamos analizando el error humano de los empleados y la conciencia de seguridad es porque, sin duda, es la principal razón por la que las empresas son víctimas de ciberataques todos los días.

El 98 % de los ciberataques se basan en la ingeniería social.

La gran mayoría de los ataques cibernéticos se enrutan en alguna forma de ingeniería social.

La ingeniería social se refiere a la manipulación de los usuarios finales para que divulguen o expongan datos o información confidencial.

Este tipo de manipulación es muy común y generalmente se entrega a los usuarios finales por correo electrónico, pero otros vectores para la ingeniería social incluyen mensajes de texto y ataques de "abrevadero", que se dirigen a sitios web que una organización o industria en particular usa con frecuencia.

Principales vectores de ataques de ciberseguridad | ¿Cuál es el propósito de la capacitación en concientización sobre seguridad?

¿Cuál es la causa?

Los ciberdelincuentes operan sobre la base de que la mayoría de los usuarios a los que apuntan no caerán en su ataque.

Sin embargo, también saben que solo necesitan que una persona a la vez se equivoque o haga clic en un enlace que no se suponía que debía hacer y están dentro.

Según los resultados del Torneo Gone Phishing 2020 de Terranova, es probable que casi el 20% de todos los empleados hagan clic en enlaces de correo electrónico de phishing y, de ellos, un asombroso 67,5% ingresa sus credenciales en un sitio web de phishing.

Esta es una operación de ley de promedios: no se necesitan todos los ataques para tener éxito, solo uno, y funciona.

En resumen, si los empleados no están preparados para lidiar con los tipos de ataques cibernéticos que afectan a las organizaciones todos los días, existe una alta probabilidad de que sean víctimas de la ingeniería social.

La mejor manera de evitar esto es no solo implementando nuevas soluciones tecnológicas, sino educando al personal sobre cómo se ven los ataques y cómo evitar ser "phishing".

¿Por qué las empresas no se toman en serio la concienciación sobre la seguridad?

Las organizaciones a menudo no comprenden la importancia de la capacitación en seguridad como parte de sus iniciativas de seguridad cibernética, y muchas simplemente subestiman el propósito principal de la capacitación en concientización sobre seguridad.

Solo el 11 % de los encuestados en una encuesta realizada por Hiscox en su informe anual dijeron que sus empresas habían aumentado el gasto en capacitación sobre seguridad después de un ciberataque.

Por lo general, esto se debe simplemente a no darse cuenta de las amenazas de tener una fuerza laboral que no está bien educada (o no tiene nada) sobre los riesgos de los vectores de ataque como el phishing.

Europa es el continente más atacado del mundo (31 %), seguido de América del Norte (27 %) y Asia (25 %).

Cuando se les preguntó cuáles eran sus prioridades de seguridad cibernética, una encuesta de los principales líderes de seguridad en Europa puso "aumentar la conciencia de seguridad en toda la organización" como su quinto objetivo más importante.

Más del 80% de los profesionales de concientización sobre seguridad informaron que dedican la mitad o menos de su tiempo a la concientización, lo que indica con demasiada frecuencia que la concientización sobre seguridad es un esfuerzo de medio tiempo.

Lo que todo esto nos muestra es que, si bien la seguridad cibernética es claramente un problema, no solo en los Estados Unidos, sino en todo el mundo, los tomadores de decisiones clasifican de manera rutinaria la conciencia de seguridad como un problema menor en comparación con otras necesidades apremiantes, como la recuperación ante desastres, la seguridad en la nube y Gestión de dispositivos móviles.

Entonces, ¿son los empleados el cuello de botella?

La respuesta simple es sí, los empleados ciertamente son un cuello de botella en lo que respecta a la seguridad, pero esto no es culpa suya.

Si bien las organizaciones han reconocido correctamente que la seguridad cibernética es un problema que debe abordarse, muchas de ellas están invirtiendo principalmente en soluciones en lugar de educación.

Publicación relacionada: 6 lecciones aprendidas de violaciones de datos recientes

Es una indicación de progreso que las empresas se están tomando la seguridad en general más en serio, y esta inversión antes mencionada es clave para luchar contra el ciberdelito y proteger a las empresas de daños.

Pero la falta de una inversión generalizada en educación para la fuerza laboral en todo el país y en todo el mundo significa que los empleados son muy susceptibles a los ataques, como lo demuestra el fuerte aumento de los ataques durante la pandemia y que continúan en la actualidad.

En este sentido, no son los empleados los que son el cuello de botella para las empresas, sino las estrategias de seguridad de las propias empresas.

¿Qué puede hacer una empresa para eliminar cuellos de botella como estos?

Un programa de calidad para la ciberseguridad en 2021 debe adoptar un enfoque por capas e incluir una variedad de soluciones, de las cuales la capacitación en concientización es solo una.

Para las organizaciones que no están seguras de qué cuellos de botella tienen, o si tienen alguno, se recomienda enfáticamente contactar a un proveedor de seguridad cibernética y realizar una evaluación.

Publicación relacionada: ¿Qué sucede durante una auditoría de riesgos de ciberseguridad?

Una auditoría de ciberseguridad profundizará en las capacidades de su organización y determinará dónde están sus fortalezas y debilidades.

Esta es la mejor manera de ajustar o formular su estrategia para proteger mejor a su empresa.

Línea de fondo

Esperamos que ahora tenga una comprensión clara de cuál es el propósito principal de la capacitación en concientización sobre seguridad.

La conciencia de seguridad es un problema importante cuando se trata de seguridad cibernética y, con frecuencia, los tomadores de decisiones lo descuidan o lo pasan por alto.

Dado que el error humano es la causa principal de las violaciones de datos y otros ataques cibernéticos exitosos, las empresas no deben dar por sentada la capacidad de su propia fuerza laboral para evitar ataques.

Invertir en un programa de concientización sobre seguridad cibernética es una excelente manera de proteger un negocio y se convertirá en una necesidad a medida que los ciberdelincuentes continúen dependiendo en gran medida de la ingeniería social como principal vector de ataque en el futuro.

Suscríbase a nuestro blog para recibir información mensual sobre tecnología comercial y mantenerse al día con las noticias y tendencias de marketing, ciberseguridad y otras tecnologías.