Si antes de la pandemia el factor humano era el responsable de más del 90% de los incidentes de seguridad en las organizaciones, actualmente, es una de las mayores amenazas. Lo que los psicólogos han denominado “fatiga pandémica”, una sensación de hastío, ansiedad, tristeza y cansancio que afecta a la concentración, se ha convertido en otro gran riesgo para la ciberseguridad de las empresas.
La ingeniería social adquiere hoy más protagonismo que nunca porque los ciberdelincuentes saben cómo aprovechar las tendencias emocionales y que, en estos momentos, una de las vías más rápidas para atacar a una compañía es a través de sus vulnerables empleados.
Hace ya más de un año de la irrupción del coronavirus y aún no se ve cercana la vuelta a la normalidad, por eso muchas personas están cada vez más ansiosas, preocupadas, aburridas y distraídas, lo que multiplica las probabilidades de caer en alguna técnica de ingeniería social. Este es uno de los principales motivos por el que los ataques de phishing han crecido de manera vertiginosa desde el comienzo de la pandemia.
Es suficiente con abrir un archivo adjunto sin prestar atención al remitente, pasar por alto algún simple detalle o reutilizar una contraseña para causar un daño importante a la seguridad de la compañía. Estos fallos humanos representan actualmente casi dos tercios de los incidentes de seguridad que reportan las empresas y sus consecuencias ya se sabe que pueden ser fatales, tanto económicamente como a nivel de reputación.
A esta fatiga pandémica que deja aún más indefensos a los empleados de las empresas cuando tienen que ser la primera línea de defensa ante las amenazas, se suma que aún falta preparación y formación en materia de ciberseguridad en los equipos y que la implementación masiva del teletrabajo ha permitido a los ciberdelincuentes incrementar sus ataques.
En el último año se han producido en España 40.000 ciberataques diarios, un 125% más que en el periodo anterior. Sin duda, este es uno de los motivos por los que los presupuestos en ciberseguridad de las empresas para 2021 han crecido, pero buena parte de esa inversión tiene que ir destinada a que los empleados de las organizaciones sepan cómo actuar y reaccionar ante las amenazas.
La concienciación y formación en ciberseguridad de la plantilla es más que nunca una cuestión prioritaria
La debida concienciación y formación en ciberseguridad de los empleados de las compañías sigue siendo en muchos casos insuficiente, aunque más que nunca se trate de una cuestión prioritaria. En una encuesta realizada el año pasado por Proofpoint a responsables de seguridad de empresas españolas, sólo el 7% afirmó llevar a cabo un programa completo de formación en ciberseguridad para sus empleados tres veces al año o más.
Pero además, en estos tiempos de especial cansancio y fatiga de la plantilla, las compañías a la hora de desarrollar sus planes formativos en ciberseguridad deben apostar por formatos basados en el entretenimiento. Solo así la formación despertará la emoción en los empleados y el aprendizaje y concienciación en un tema tan crítico será más eficaz y duradero.
Los encuestados por Proofpoint indicaron también que algunas de las conductas de riesgo más habituales de los empleados son hacer clic en enlaces maliciosos (47%), los ataques internos maliciosos (43%), el uso no autorizado de dispositivos y aplicaciones (40%), picar en un ataque de phishing (35%) y tener contraseñas demasiado débiles (34%).
La cuestión es que ni siquiera es suficiente con que los empleados sepan qué es el phishing o el ransomware, es necesario que puedan detectar estas amenazas en el mundo real y que sean conscientes de cómo su comportamiento y acciones pueden contribuir a que un ciberataque a su empresa se produzca con éxito. Para ello, las formaciones interactivas en formato videojuego en las que los jugadores se exponen a situaciones reales son las más efectivas.
Si te interesa la ciberseguridad… ¡Descubre Aiwin Firewall! 👇
