Los beneficios de usar máquinas virtuales, cómo instalar actualizaciones de software o las razones por las que se deben utilizar los recursos de TI corporativos y no los propios, incluso cuando se teletrabaja, fueron los temas más complicados de contestar para los participantes en la formación gratuita sobre concienciación en seguridad, realizada por Kaspersky y Area9 entre teletrabajadores. Aunque el índice de respuestas correctas rondó el 66%, preocupa que incluso cuando los participantes se equivocaban, la mayoría seguía confiando en sus competencias.
La primavera pasada, debido a la pandemia causada por el coronavirus, muchas empresas cambiaron al trabajo en remoto, lo que impactó negativamente en la seguridad corporativa. Durante ese periodo, se produjo un creciente número de ataques basados en web, phishing relacionado con el coronavirus, así como un aumento del uso del Shadow IT. Con el objetivo de ayudar a las empresas a mejorar los conocimientos de ciberseguridad de sus trabajadores, en abril de 2020, Kaspersky y Area9 lanzaron un curso de aprendizaje adaptativo sobre los principios básicos para operar en remoto de forma segura.
La mayoría de los teletrabajadores cree que sus competencias en materia de ciberseguridad son las correctas
El análisis de los resultados anonimizados de la formación ha revelado que las personas que trabajan a distancia tienden a sobrestimar el nivel de sus conocimientos básicos en materia de ciberseguridad. Este hecho se puso de manifiesto a través de una metodología de aprendizaje adaptativo en la que se solicita a los alumnos que, además de contestar a las preguntas planteadas, valoren también el nivel de confianza que tienen en sus respuestas. Con este método, se detectó que en el 90% de los casos en que los alumnos seleccionaron una respuesta incorrecta; sin embargo, seleccionaron «lo sé» o «creo que lo sé» cuando se les preguntó lo seguros que estaban de su respuesta.
Además, el análisis ha identificado los objetivos de aprendizaje que resultaron más difíciles como, por ejemplo, los beneficios de utilizar máquinas virtuales. Hasta un 60% de las respuestas en esta materia fueron erróneas, y el 90% de los encuestados fueron clasificados en la categoría de «incompetencia inconsciente». Esto significa que, pese a equivocarse, los alumnos se mostraban seguros de haber seleccionado la opción correcta.
Más de la mitad de las respuestas (52%) a las cuestiones sobre por qué los empleados deben utilizar los recursos tecnológicos de la empresa (como los servicios de correo y mensajería o el almacenamiento en la nube) al trabajar desde casa fueron también incorrectas. Sin embargo, en el 88% de los casos, los empleados pensaron que lo sabían. Prácticamente la misma proporción de fallos (50%) se produjo al responder a una pregunta sobre cómo instalar actualizaciones de software. En este caso, una gran mayoría (92%) de los que respondieron incorrectamente, creyeron que tenían la destreza necesaria.
«Si los empleados no perciben ningún riesgo en las acciones peligrosas, como, por ejemplo, en el almacenamiento de documentos confidenciales en un archivo personal, difícilmente buscarán el consejo de los departamentos de TI o de seguridad informática. En este sentido, es difícil cambiar tal comportamiento, porque la persona tiene un hábito establecido y puede que no conozca los riesgos asociados. En consecuencia, la ‘incompetencia inconsciente’ es uno de los problemas más difíciles de identificar y resolver con una formación de concienciación sobre seguridad», señala Denis Barinov, director de Kaspersky Academy.
