La formación de los empleados, asignatura pendiente de las empresas para contener los ciberataques

Recomendados:  Los desastres ocurren... ¿tienes un plan de continuidad de negocio? Webinar Ciberseguridad en el sector del transporte Leer Ciberseguridad avanzada para entornos de servicios públicos Leer

En todo el mundo los ciberdelincuentes están atacando a personas a través de comunicaciones ágiles, relevantes y sofisticadas, manteniendo el correo electrónico como principal vector de ataque. Así lo pone de manifiesto el séptimo informe anual State of the Phish de Proofpoint, según el cual, más del 75% de las empresas registraron ataques de phishing generalizados —tanto exitosos como fallidos— a lo largo de 2020, mientras que las infecciones por ransomware alcanzaron al 66%.

El informe subraya la necesidad de adoptar un enfoque centrado en las personas en protección de la ciberseguridad, además de concienciar a los usuarios para hacer frente a unas circunstancias cambiantes, tal y como han podido experimentar las organizaciones el año pasado debido a la pandemia. Sobre este último punto en concreto, el estudio señala que, si bien en el 87% de las empresas españolas se requirió o se necesitó que gran parte de su fuerza laboral se acogiese al teletrabajo durante 2020, solo el 36% ofreció formación a sus usuarios acerca de las mejores prácticas para trabajar en remoto de forma segura.

Acerca del contenido de las formaciones en ciberseguridad, las simulaciones de phishing son menos habituales en organizaciones españolas (11%) respecto a la media global (29%), enfocándose el aprendizaje de los empleados en las mejores prácticas principalmente a través de sesiones presenciales o por ordenador (44%).

Para Fernando Anaya, Country Manager de Proofpoint, "es fundamental para las organizaciones garantizar que sus usuarios sepan cómo detectar y reportar cualquier intento de ciberataque, especialmente aquellos empleados que trabajan en remoto desde entornos menos seguros. Pese a que algunas empresas imparten ya esta formación sobre seguridad a su plantilla, los datos de esta encuesta nos demuestran que la mayoría de empresas no está haciendo lo suficiente".

De acuerdo con el informe, el 64% de los empleados en España sabe que hay archivos adjuntos que pueden contener malware, mientras que el 60% es consciente de que debe sospechar ante cualquier mensaje electrónico no solicitado. Por otra parte, el 22% piensa que sus organizaciones van a bloquear automáticamente los correos maliciosos.

El 35% de los encuestados en España afirma que su organización sanciona a aquellos empleados que caen regularmente ante ataques de phishing ya sean simulados o reales. Entre las sanciones que aplican las organizaciones españolas a sus mayores infractores se incluyen sesiones de asesoramiento por parte de los equipos de seguridad (60%), distintas acciones disciplinarias como recibir una advertencia por escrito del departamento de recursos humanos (51%) o la retirada de permisos de acceso a sistemas (43%).

En cuanto al ransomware, el 66% de los profesionales de seguridad de la información encuestados en España contó que su organización sufrió una infección de este tipo en 2020. No obstante, el 41% de las organizaciones españolas se negó a pagar un rescate tras el incidente, lo que las convierte en las menos predispuestas a negociar con los atacantes.

"Estos datos sobre el teletrabajo en España son ciertamente reveladores", opina Anaya. "La mayoría de los profesionales de seguridad encuestados en España apoya un modelo de trabajo en remoto para al menos la mitad de la plantilla de su organización y, sin embargo, poco más de un tercio de esos empleados recibió formación específica en ciberseguridad relacionada con el teletrabajo. También nos hemos encontrado con que los trabajadores españoles utilizan sus dispositivos de trabajo para responder emails personales, buscar ofertas y comprar productos, entre otras prácticas, lo cual puede generar ciertos riesgos, de ahí que sea necesario reforzar iniciativas de formación adaptadas a empleados en remoto para concienciarles sobre las actuales amenazas”.