Un nuevo estudio realizado por Hornetsecurity, proveedor líder en soluciones de seguridad, cumplimiento y backup en la nube, revela la falta de formación en seguridad informática en las empresas con una cuarta parte, aproximadamente un 26% de las organizaciones, que aún no proporcionan ningún tipo de formación a sus empleados.
La encuesta, que recopiló las respuestas de profesionales de la industria de todo el mundo, también revela que menos del 8% de las organizaciones ofrecen formación adaptativa que evoluciona en función de los resultados de pruebas de seguridad regulares. El panorama de ciberseguridad cambia rápidamente y los ciberatacantes están constantemente ideando nuevas formas de infiltrarse y causar daño, esto representa una preocupación empresarial significativa.
Compromiso y efectividad en la formación
Las personas son la primera línea de defensa en la estrategia de ciberseguridad de cualquier empresa. El tipo de ciberataque más común es el phishing, que se aprovecha de la confianza de las personas. Por lo tanto, los empleados deben estar equipados con las habilidades, el conocimiento y la confianza para detectar comportamientos maliciosos. Lamentablemente, el estudio de Hornetsecurity descubrió que no solo existe una brecha significativa en la formación, sino que las iniciativas de formación se consideran ineficaces. En este contexto, casi un tercio, un 31%, de los encuestados afirma que su formación era escasa o poco atractiva.
A pesar de los bajos niveles de compromiso, el 79% de las organizaciones creen que su formación en concienciación sobre seguridad informática es al menos moderadamente efectiva para combatir las ciberamenazas. Sin embargo, casi cuatro de cada diez, aproximadamente un 39% de los encuestados, informaron que su formación no cubre adecuadamente las amenazas recientes o que son generadas o impulsadas por IA. En un mundo donde el crecimiento de la IA se está acelerando y aumentando la escala de los ataques, esto es alarmante.
Daniel Blank, COO de Hornetsecurity, afirma: “Nuestro último estudio muestra una clara desconexión entre la efectividad percibida de la formación en seguridad y su relevancia y capacidad de respuesta ante las ciberamenazas modernas, especialmente el reciente auge de los ataques impulsados por IA. Los empleados deben estar equipados con formación continua para reforzar cualquier defensa técnica y servir como un cortafuegos humano. Esa constancia es esencial para que la formación tenga el mayor impacto. Es importante contar con la última tecnología de ciberseguridad, pero una cultura de seguridad sostenible también significa invertir en las personas.”
Adaptaciones post-incidente y deficiencias en la notificación
La encuesta también encuentra que una de cada cuatro organizaciones había sufrido incidentes de ciberseguridad, de los cuales el 23% se dieron lugar en el último año. Notablemente, el 94% de estas organizaciones tomaron medidas para fortalecer su seguridad implementando controles adicionales tras el incidente. Sin embargo, a pesar de estos esfuerzos, el 52% de los encuestados señala que los empleados a menudo ignoran o eliminan las amenazas de correo electrónico identificadas sin notificarlas, y el 38% olvida el contenido de la formación, lo que muestra la necesidad de mejoras continuas en educación de seguridad.
La encuesta destaca que las personas están particularmente interesadas en recursos post-formación más efectivos, que podrían ayudar a retener y aplicar las medidas de seguridad aprendidas. Otra área de mejora es la retroalimentación sobre las amenazas reportadas, con el 28% indicando la falta de retroalimentación como una razón para no adherirse a los protocolos de formación.
La necesidad de una formación actualizada
Un significativo 45% de los responsables de la toma de decisiones en IT creen que sus programas de formación actuales están desactualizados y son ineficaces contra los ataques impulsados por IA. Este sentimiento es compartido por el 39% de los encuestados generales, mostrando una necesidad crítica de contenido de formación que sea tanto actual como integral.
Daniel Blank añade: “Es necesario que las organizaciones no solo proporcionen formación regular, atractiva y adaptativa, sino también que estos programas aborden a fondo las amenazas cibernéticas más recientes y sofisticadas. Por eso desarrollamos el Hornetsecurity Security Awareness Service, una solución de última generación que ofrece la cantidad adecuada de formación personalizada por empleado de manera automatizada. De esa forma, las organizaciones pueden proporcionar el nivel adecuado de formación continua sin agotar los recursos de IT.”
Él enfatizó: “La proactividad es clave: en lugar de fortalecer después de los incidentes, las organizaciones deben anticipar los ataques y tener sistemas y procesos robustos en su lugar. Hacer esto ahorra tiempo, esfuerzo y costos significativos.”
Seguro cibernético y medidas preventivas
Más de la mitad de las organizaciones encuestadas, un 56%, utilizan seguros relacionados con la ciberseguridad, lo que indica una creciente dependencia de salvaguardias financieras. Además, el 79% de las organizaciones atribuyen la prevención de incidentes de ciberseguridad directamente a sus programas de formación, mientras que el 92% reconoce que la formación ha permitido a los usuarios finales detectar amenazas de seguridad en diversos medios, no solo en correos electrónicos.