[25/10/2024] Fortinet publicó su Informe de Investigación Global anual de Capacitación y Conciencia de Seguridad 2024, destacando el papel crucial que desempeña una fuerza laboral con conciencia cibernética en la gestión y mitigación del riesgo organizacional.
"A medida que los actores de amenazas aprovechan las nuevas tecnologías como la IA para aumentar la sofisticación de sus ataques, es cada vez más crucial que los empleados sirvan como una sólida primera línea de defensa. La nueva investigación de Fortinet subraya la importancia de crear una cultura de ciberseguridad y la necesidad de implementar la conciencia y la capacitación en seguridad en toda la organización. Estos hallazgos refuerzan la importancia de nuestro servicio de concienciación y formación en seguridad para las empresas, incluida la versión educativa gratuita disponible sin costo para las escuelas primarias y secundarias de todo el mundo, y su papel en el fortalecimiento de la resiliencia cibernética”, sostuvo John Maddison, director de marketing de Fortinet, en el comunicado de prensa.
Entre las principales conclusiones del informe mundial el ejecutivo mencionó las siguientes:
- A medida que los actores maliciosos utilizan la IA para aumentar el volumen y la velocidad de sus ataques, los líderes creen que estas amenazas serán más difíciles de detectar para sus empleados. Más del 60% de los encuestados espera que más empleados sean víctimas de ataques en los que los ciberdelincuentes utilicen IA. "Sin embargo, la buena noticia es que la mayoría de los encuestados (80%) también dicen que el conocimiento de toda la empresa sobre los ataques aumentados por IA ha hecho que sus organizaciones estén más abiertas a implementar la conciencia y la capacitación en seguridad”, comentó Maddison.
- Los empleados pueden ser la primera línea de defensa de una organización, pero a los líderes les preocupa cada vez más que sus empleados carezcan de conciencia de seguridad. Casi el 70% de los encuestados cree que sus empleados carecen de conocimientos críticos de ciberseguridad, frente al 56% en el 2023.
- Los líderes reconocen la importancia de la capacitación en concientización sobre seguridad, pero creen que los atributos específicos hacen que algunos programas de capacitación sean más efectivos que otros. Tres cuartas partes de los líderes dicen que planean sus campañas de concientización sobre seguridad, entregando contenido mensualmente (34%) o trimestralmente (47%). Los ejecutivos también señalan que el contenido de alta calidad desempeña un papel principal en el éxito o el fracaso del programa.
Las últimas amenazas contra las que los empleados deben luchar
Maddison comentó que una de las principales formas en que los ciberdelincuentes utilizan la IA es para hacer que los esquemas de phishing sean más creíbles y difíciles de detectar. "Debido a que el phishing se dirige directamente a usuarios individuales, las organizaciones se centran en gran medida en enseñar a los empleados a reconocer y evitar ser víctimas de estos ataques”.
- Los usuarios finales siguen siendo objetivos atractivos. Más del 80% de las organizaciones se enfrentaron a ataques el año pasado, como malware, phishing y ataques de contraseñas dirigidos directamente a individuos.
- A medida que los ataques evolucionan, la concienciación y la formación en materia de seguridad serán cada vez más vitales. Casi todos (96%) de los encuestados dicen que su equipo de liderazgo apoya la capacitación de concientización sobre seguridad de los empleados.
- Casi todos los encuestados (98%) dicen que la prevención del phishing es un componente de sus programas y planes de capacitación. Otras de las principales prioridades de formación son la seguridad de los datos (48%) y la privacidad (41%).
Los empleados pueden servir como una sólida primera línea de defensa contra los ataques
El ejecutivo indicó que, si bien los equipos de seguridad y TI son cruciales para proteger a las organizaciones contra las ciberamenazas, los empleados de una empresa también desempeñan un papel importante en la prevención de infracciones.
- Los empleados están abiertos a oportunidades de concienciación y formación en ciberseguridad. La mayoría de los líderes (86%) dicen que sus empleados ven positivamente la conciencia y la capacitación en seguridad.
- Las organizaciones ven resultados positivos cuando implementan programas de capacitación en seguridad y concientización. Una abrumadora mayoría de los líderes (89%) dice que su organización vio al menos alguna mejora en su postura de seguridad después de que se implementaron la conciencia y la capacitación en seguridad. Ni uno solo de los encuestados afirmó no ver ninguna mejora.
Capacitación en concientización cibernética
El ejecutivo señaló que la mayoría de las organizaciones están motivadas para introducir la concienciación y la formación en materia de seguridad en función de su experiencia de ser vulneradas o de su conocimiento de las amenazas en su sector o industria. "Casi todos los responsables de la toma de decisiones (96%) afirman que su equipo de liderazgo apoya la implementación de formación para concienciar a los empleados sobre la ciberseguridad”.
Según la encuesta de este año, el 97% de los líderes piensan que una mayor concienciación de los empleados fortalecería la postura de ciberseguridad de la organización. "Sin embargo, los encuestados también están de acuerdo en que hay atributos clave de los programas de capacitación que son importantes para la efectividad”, añadió Maddison.
- El contenido atractivo es primordial. Si bien el 86% de los responsables de la toma de decisiones dicen estar satisfechos con su solución actual de concienciación y formación en seguridad, la mayor queja fue la falta de contenido atractivo entre los que no estaban satisfechos.
- Tenga en cuenta el compromiso de tiempo requerido. Evite la fatiga de la formación teniendo en cuenta la cantidad de tiempo que requieren los alumnos. Exigir demasiado tiempo a los empleados puede sobrecargarlos. Entre 1,1 y 2,0 horas es el tiempo más común propuesto, con tres horas como promedio.
La encuesta se llevó a cabo entre más de 1.850 profesionales de nivel ejecutivo y gerencial de 29 países diferentes en organizaciones con conciencia y capacitación en seguridad. Los encuestados procedían de una amplia gama de sectores, como la fabricación (17%), los servicios financieros (13%) y los servicios tecnológicos y profesionales (11%).
Franca Cavassa, CTOPerú