Según el nuevo informe Employee Security Index (ESI®) de Hornetsecurity, proveedor de ciberseguridad, los empleados necesitan recibir una formación en ciberseguridad de al menos tres meses para que las empresas alcancen “un nivel aceptable de seguridad”.
Sin embargo, una «pausa» en la capacitación de sólo un mes puede hacer que la puntuación ESI® de una organización disminuya por debajo del nivel requerido, mientras que un parón de cuatro meses puede hacer que las organizaciones vuelvan al punto de inicio.
El informe de referencia de ESI® analizó cerca de 1,8 millones de ataques de phishing simulados sobre 140.000 empleados y en más de 350 compañías, arrojando luz sobre los riesgos que los ciberataques representan para las empresas.
El estudio revela que el 90% de todos los ataques cibernéticos comienzan con ataques de phishing y más del 40% de todos los correos electrónicos tienen potencial de ser una amenaza para las empresas.
Daniel Hofmann, CEO de Hornetsecurity, afirma: «El informe de referencia de ESI® revela el riesgo creciente que representa el phishing para las organizaciones y destaca la importancia de brindar servicios de concienciación y capacitación sobre seguridad para reforzar sus defensas».
“Los resultados demuestran que la mayoría de los empleados pueden alcanzar un nivel aceptable de concienciación sobre seguridad después de tan solo tres meses de formación. Sin embargo, la capacitación debe ser continua para garantizar que los empleados estén preparados contra métodos de ataque cada vez más sofisticados, que a menudo tienen como objetivo explotar su confianza ciega en la autoridad”.
Concienciación sobre seguridad
El informe también proporciona información sobre las medidas de capacitación necesarias para optimizar la concienciación en seguridad de los diferentes grupos de usuarios. Los ataques de phishing plantean enormes implicaciones financieras y de reputación para las organizaciones, pero este índice de referencia científico ayudará a los líderes empresariales a monitorizar el comportamiento de seguridad entre los empleados y demostrar el poder de la formación continua de concienciación sobre seguridad, lo que les permitirá crear una cultura de seguridad más sostenible y sólida.
La formación continua es un punto clave para la concienciación
El informe de referencia de ESI® encontró que, en promedio, los empleados necesitan tres meses de capacitación para llegar a la «zona de protección». El estudio también indica que se requiere formación continua para garantizar que los empleados estén instruidos y protegidos contra el desarrollo de ciberamenazas.
Por otro lado, las empresas en ocasiones se preocupan por la fatiga que puede provocar en sus empleados la capacitación en seguridad. Hornetsecurity, respondiendo a estas demandas, ha integrado breves pausas en su programa, Security Awareness Service, para garantizar que los empleados no se desconecten.
No hay un criterio universal
Los resultados también muestran que la capacitación en seguridad debe enfocarse en las necesidades individuales, en lugar de seguir un enfoque único para todos. El exclusivo Awareness Engine dentro del Security Awareness Service de Hornetsecurity ofrece formación automatizada y de última generación basada en las necesidades individuales de cada empleado. También proporciona a las empresas indicadores concretos y fiables y comparaciones estandarizadas entre diferentes grupos de empleados.
El Awareness Engine adapta el nivel de capacitación a diferentes empleados según su puntación ESI®. Por ejemplo, si un empleado tiene una tasa de clics más alta en estafas de phishing simuladas, la organización es consciente de que esta persona puede estar menos preparada contra los métodos de ataque, lo que significa que es posible que se deba proporcionar un entrenamiento más intensivo.
Hofmann añade: “Creemos que la prevención, la protección, la respuesta y la recuperación son parte integral de la continuidad del negocio, razón por la cual hemos desarrollado nuestro Security Awareness Service, disponible como una solución independiente o como parte de nuestra suite de ciberseguridad 365 Total Protection, permitiendo a las organizaciones garantizar que sus datos permanezcan seguros mediante el desarrollo de una cultura de seguridad sostenible”.
¿Cómo se calcula la puntuación ESI®?
El Spear Phishing Engine patentado de Hornetsecurity genera correos electrónicos de phishing, controlando automáticamente quién obtiene qué nivel de phishing y cuándo. Los ataques simulados se clasifican en siete niveles diferentes de dificultad variable, lo que significa que los usuarios no se sienten abrumados o decepcionados durante la simulación de phishing selectivo.
Luego se calcula una puntuación ESI® evaluando la cantidad de clics de cada empleado en estos correos de phishing simulado. Esta calificación indica el grado de formación de estos en cuanto a los diferentes métodos de ataque, y los resultados de esta capacitación permiten a las organizaciones mantener en forma a su personal mediante la adopción de ciclos de entrenamiento continuo con la ayuda de Hornetsecurity.