El 40% de todos los correos electrónicos entrantes suponen una amenaza potencial, incluyendo el spam, el phishing y las amenazas avanzadas como el fraude del CEO y cualquier tipo de malware. Al ser el principal medio de comunicación de las empresas, el correo electrónico es una de las principales puertas de entrada de la ciberdelincuencia y sigue siendo un vector de ataque de primer orden.
Es fundamental contar con las soluciones más avanzadas en materia de seguridad con un enfoque integral, desde la prevención hasta la respuesta y recuperación, pasando por la protección. Se puede conseguir que que los ataques se encuentren con una rápida defensa y, en caso necesario, que todos los sistemas, archivos y datos puedan ser recuperados con prontitud para permitir la continuidad del negocio en caso de consumación del ataque.
Incluso bajo la creencia de que la organización tiene cubiertos los aspectos básicos, es importante revisarlos constantemente y adoptar una cultura de “seguridad sostenible”. La mayor parte de los ciberataques siguen centrándose en el “punto débil humano”: al fin y al cabo, hasta los sistemas y herramientas más seguros desde el punto de vista técnico son solo tan seguros como la prudencia con que los manejan los usuarios.
Por esta razón, cada vez más organizaciones están recurriendo a la concienciación en seguridad del usuario final que prepare a los empleados para los ataques de phishing y los motive para manejar los emails entrantes con precaución. Además de los métodos clásicos para impartir conocimientos -como el e-learning o ios webinars- las simulaciones de phishing son especialmente eficaces para inducir un cambio de comportamiento duradero y establecer hábitos de usuario seguros. Esto se debe a que refuerzan las decisiones impulsivas responsables de los clics rápidos en correos electrónicos sospechosos. También aprovechan el «momento más enseñable» de un empleado al educarle sobre su comportamiento potencialmente peligroso justo en el momento adecuado, lo que les enseña a dejar de abrir automáticamente un correo electrónico, aunque este apele ingeniosamente a sus sentimientos más espontáneos.
Actualmente existen en el mercado numerosas opciones. Pero cuidado: las empresas no deben sobrecargar a sus empleados con medidas de información y formación, ya que esto sólo suele provocar reacciones defensivas y resistencia interna. Tienen que hacer una elección inteligente para no abrumar a los usuarios, es importante que los responsables de seguridad informática den a los empleados tiempo suficiente y no les pidan que hagan todo a la vez para no sobrecargarlos. Si se castiga la mala conducta, se corre el riesgo de asustar e intimidar a los empleados.
El resultado debe ser una cultura proactiva de la seguridad y unos empleados formados que reconocen los ciberataques y los rechazan con eficacia y, de esta manera, conocen y tienen en cuenta su responsabilidad con la empresa.
Hornetsecurity
Responsable de Preventa Iberia, Italia & Latam
