Advertencia: es possible que 1 de cada 3 empleados caiga en una estafa de phishing


La empresa de capacitación en ciberseguridad KnowBe4 informa que la cantidad de empleados que probablemente caerán en correos electrónicos de phishing se decrease drásticamente con la instrucción adecuada sobre cómo reconocer un ataque.

Correo electrónico / sobre con documento negro e icono de calavera. Virus, malware, fraude por correo electrónico, correo no deseado, estafa de phishing, concepto de ataque de piratas informáticos. Ilustración vectorial

Imagen: Vladimir Obradovic, Getty Photographs / iStockphoto

Un nuevo estudio de la empresa de capacitación en ciberseguridad y simulación de phishing KnowBe4 descubrió que uno de cada tres usuarios no capacitados period probable que cayera en estafas de phishing o ingeniería social.

El informe analizaron empresas en una variedad de industrias para construir lo que KnowBe4 llama el «porcentaje propenso a phishing (PPP)» de una organización, que indica cuántos empleados son vulnerables a tales ataques. La línea de foundation promedio, 31,4%, varió mucho según el tamaño de la organización y la industria, y la mitad de los empleados de las grandes empresas de energía y servicios públicos (más de 1000) probablemente caerán en un ataque de phishing o de ingeniería social (Figura A).

captura de pantalla-2021-07-09-at-10-05-30-am.png "src =" https://www.techrepublic.com/a/hub/i/r/2021/07/09/6b1a5fa3 -3203-4dad-b394-732c20989933 / resize / 770x / 5aaf7507c34081d517a7b2ad93128c42 / screen-shot-2021-07-09-at-10-05-30-am.png

Figura A: Las industrias con mayor riesgo por tamaño de organización, identificadas por KnowBe4.

Imagen: KnowBe4

«Esto es profundamente preocupante. Las organizaciones deben monitorear sus riesgos debido a la mayoría de las violaciones de datos que se originan en la ingeniería social. Estos datos nos muestran que implementar capacitación en concientización sobre seguridad con pruebas de phishing simuladas ayudará a proteger mejor a las organizaciones contra ataques cibernéticos», dijo el CEO de KnowBe4. Stu Sjouwerman.

VER: Política de respuesta a incidentes de seguridad (TechRepublic Premium)

Los datos de KnowBe4 sugieren que el entrenamiento es la respuesta a los porcentajes peligrosamente altos. Dentro de los 90 días de capacitación, KnowBe4 ejecutó otra prueba de phishing e ingeniería social en las 23,400 organizaciones incluidas en el informe, y encontró que la puntuación promedio de PPP se redujo al 16,4%. Después de un año de entrenamiento continuo, ese número cae a solo 4.8% (Figura B). Eso equivale a una mejora promedio del 84%, según el informe.

knowbe4-phishing-training-stats.jpg "src =" https://www.techrepublic.com/a/hub/i/r/2021/07/09/9d622e7c-cc20-4b50-9f91-374269f2c209/resize/770x /e5c32a8bfe9de1955494f963e37207ff/knowbe4-phishing-training-stats.jpg

Figura B: Estadísticas recopiladas por KnowBe4 que muestran un año de capacitación continua en ingeniería social / phishing y su efecto en varias industrias y tamaños de organizaciones.

Imagen: KnowBe4

Si bien los datos sugieren que la capacitación del tipo que ofrece KnowBe4 es eficaz, no se puede esperar que la capacitación por sí sola transforme una organización. Dicho esto, KnowBe4 hace varias recomendaciones para combatir el phishing y la ingeniería social.

Para empezar, los ejecutivos tienen que modelar el comportamiento que quieren ver en sus organizaciones, dijo KnowBe4. La alta dirección es un objetivo tentador y una causa común de violaciones de seguridad debido al phishing y la ingeniería social. «Los ejecutivos deben ser participantes activos en todos los aspectos de impulsar la conciencia de seguridad en sus organizaciones, lo que incluye participar en los mismos requisitos de capacitación en conciencia de seguridad que se espera que completen el resto de sus empleados», recomienda el informe.

También es importante para quienes planean una estrategia anti-phishing asociarse con las personas adecuadas, recomienda el informe. Un enfoque de capacitación único para todos puede ser limitante cuando la falta de experiencia profunda impide que la capacitación sea efectiva. «Puede ser tentador aprovechar su organización de capacitación interna para liderar el desarrollo de este programa … pero eso conducirá a una incapacidad a largo plazo para dar forma a los pensamientos y acciones relacionados con la seguridad de su audiencia», dijo el informe.

VER: Cómo administrar las contraseñas: mejores prácticas y consejos de seguridad (PDF gratuito) (TechRepublic)

KnowBe4 también recomienda que las organizaciones que se centran en mejorar la ciberseguridad piensen como especialistas en marketing y pongan la ciberseguridad al frente y al centro en la oficina, en los correos electrónicos y en la formación no relacionada con la seguridad. Recordar constantemente a los empleados la importancia de la seguridad hace que sea una parte inolvidable del trabajo.

También es esencial definir objetivos, recopilar datos significativos y convertir esos datos en métricas utilizables, simular ataques de phishing y aumentar la frecuencia del entrenamiento y las pruebas internas para evitar la atrofia del entrenamiento, dijo KnowBe4.

Ver también



Enlace a la noticia original