El informe "Beyond the Phish" analiza los conocimientos de los usuarios en materia de ciberseguridad

July 10, 2019
Gretel Egan

Nos complace anunciar la publicación del informe Beyond the Phish de 2019, nuestro cuarto examen anual del nivel de conocimientos sobre ciberseguridad de los usuarios de nuestros clientes. El informe de este año incluye un análisis de los datos referentes a casi 130 millones de preguntas sobre ciberseguridad, y ofrece información detallada del nivel de conocimientos de los empleados en 14 categorías, 16 sectores y más de 20 clasificaciones departamentales utilizadas habitualmente.

Las principales conclusiones de este estudio sobre la formación para concienciar en materia de seguridad incluyen lo siguiente:

  • En general, una de cada cuatro preguntas en las categorías "Identificación de amenazas de phishing" y "Protección de datos durante su ciclo de vida" se contestaron incorrectamente.
  • El departamento de Comunicaciones fue el que presentó los mejores resultados, con un 84 % de preguntas respondidas correctamente por los usuarios.
  • El sector de las Finanzas fue el que presentó los mejores resultados, con un 80 % de preguntas respondidas correctamente.
  • Atención al cliente, Instalaciones y Seguridad fueron los departamentos que presentaron los peores resultados, con una media del 25 % de respuestas incorrectas a preguntas de ciberseguridad.[1]
  • Los usuarios finales en los sectores de la educación y el transporte fueron los que mostraron mayores dificultades, con una media de respuestas incorrectas del 24 % en todas las categorías.
  • Los usuarios finales en el sector de los seguros presentaron los mejores resultados en tres de las 14 categorías analizadas, destacando especialmente en la categoría "Cómo evitar los ataques de ransomware".
  • Los empleados del sector hotelero y de la restauración obtuvieron la puntuación más baja en tres categorías, incluida la de "Riesgos de seguridad física", en la que respondieron incorrectamente al 22 % de las preguntas.
Por qué vamos "más allá del phishing"

El phishing sigue siendo una de las principales preocupaciones de las organizaciones en todo el mundo. Como indicamos en nuestro informe State of the Phish de 2019, el 83 % de las organizaciones a nivel mundial sufrieron ataques de phishing en 2018, lo que pone de relieve la necesidad urgente de educar a los usuarios.

Sin embargo, los ataques que emplean el correo electrónico no son por sí solos la única fuente de riesgo para los usuarios de una organización. Por ejemplo:

  • si se tienen hábitos poco rigurosos en redes sociales, se pueden desvelar datos importantes que los ciberdelincuentes pueden aprovechar para crear y lanzar una variedad de ataques de ingeniería social dirigidos y creíbles, incluido el phishing, vishing (phishing de voz), smishing (phishing mediante mensajes SMS/texto), y campañas de la vulneración del correo electrónico de empresas (BEC), o fraude del CEO.
  • Una gestión de datos y prácticas de seguridad física negligentes pueden dar lugar a fugas y a la pérdida o robo de información confidencial.
  • El uso de contraseñas poco seguras puede poner en riesgo las credenciales y conceder a los atacantes acceso a los sistemas y datos de la empresa.
  • La falta de concienciación puede convertir a los empleados en amenazas internas no intencionadas.

Muchas organizaciones emplean ataques de phishing simulados y/o ejercicios de formación poco frecuentes para evaluar las vulnerabilidades de los usuarios y enseñar buenas prácticas en materia de ciberseguridad. Los ciberdelincuentes han ampliado su estrategia para incluir los ataques a usuarios, por lo que centrarse únicamente en determinados componentes de la ciberhigiene no es suficiente para preparar debidamente a los usuarios de manera que identifiquen y cambien los comportamientos que pueden comprometer la seguridad en su trabajo y en su vida personal.

"Las organizaciones deben ser perseverantes y minuciosas en sus programas de formación para concienciar en materia de seguridad, y analizar los comportamientos de los usuarios finales que tienen una influencia y un impacto en el estado de seguridad en su conjunto. Este informe anual reitera la necesidad de ir más allá del uso de pruebas de phishing para evaluar la susceptibilidad y el conocimiento que tienen los usuarios finales de las ciberamenazas", afirma Amy Baker, vicepresidenta de estrategia y desarrollo de formación para concienciar en materia de seguridad para Proofpoint.

"Es importante recordar que no todos los incidentes de seguridad derivan de un ataque; muchos problemas son fruto de una concienciación escasa y de prácticas de seguridad deficientes. Nuestro estudio ha puesto de manifiesto un aumento importante de los comportamientos seguros cuando las organizaciones adoptan una estrategia continua y bien gestionada de la formación en todos los temas de ciberseguridad".

Descargue su copia del informe

Empresas de todo el mundo confían en Proofpoint para formar a sus empleados sobre las últimas ciberamenazas y las mejores prácticas. En un momento en el que los ciberdelincuentes han pasado de atacar las infraestructuras a dirigir sus ataques a los individuos, es imprescindible contar con una formación eficaz, con un enfoque centrado en las personas.  

Para descargar el informe Beyond the Phish de 2019 y ver una lista completa de comparativas por categoría, departamento y sector, visite: Beyond the Phish de 2019. Para obtener más información sobre las conclusiones, inscríbase en nuestro seminario web SecureWorld del 28 de agosto, "Beyond the Phish: A Snapshot of End-User Behavior" ("Más allá del phishing: una instantánea del comportamiento de los usuarios finales"). El contenido estará accesible en directo o bajo demanda, y habrá disponibles créditos CPE.

 

[1] Las designaciones de los departamentos las definen los encuestados. Por ejemplo, el departamento de Seguridad podría incluir tanto la seguridad física como la ciberseguridad.