El aumento de los ciberataques contra los empleados obliga a las empresas a intensificar la formación en materia de seguridad.
Según diferentes estudios la gran mayoría de los incidentes de ciberseguridad se deben a errores humanos. En las empresas, los atacantes de ingeniería social prefieren explotar la vulnerabilidad de los empleados porque requiere mucha menos experiencia y esfuerzo que el hackeo de vulnerabilidades técnicas.
Es cierto que las empresas hacen bien en proteger sus sistemas de forma exhaustiva con las últimas medidas de seguridad técnicas y organizativas. Sin embargo, para establecer una cultura de seguridad sostenible, las empresas deben aprovechar los hábitos de los usuarios más vulnerables a los ciberataques. La forma de ingeniería social más extendida hoy en día es el phishing. Esto abarca desde los correos masivos indiscriminados hasta los correos personalizados. Según el Informe de Ciberseguridad 2023 de Hornetsecurity, más del 40% de todo el tráfico de correo electrónico ya supone una amenaza potencial. Con la proliferación de modelos generativos de IA, como ChatGPT, se espera que esta tasa aumente, ya que las cadenas de ataques de phishing pueden automatizarse por completo y simplificarse significativamente.
Por lo tanto, las empresas deben centrarse en una formación de concienciación en materia de seguridad que prepare a los empleados para los ataques de phishing y los motive para manejar los emails entrantes con precaución. Además de los métodos clásicos para impartir conocimientos -como el e-learning o ios webinars- las simulaciones de phishing son especialmente eficaces para inducir un cambio de comportamiento duradero y establecer hábitos de usuario seguros. Esto se debe a que refuerzan las decisiones impulsivas responsables de los clics rápidos en correos electrónicos sospechosos. También aprovechan el «momento más enseñable» de un empleado al educarle sobre su comportamiento potencialmente malicioso justo en el momento adecuado, lo que les enseña a dejar de abrir automáticamente un correo electrónico, aunque este apele ingeniosamente a sus sentimientos espontáneos.
Esta escalada de amenazas exige una mayor formación en materia de seguridad, y actualmente existen en el mercado numerosas opciones. Pero cuidado: las empresas no deben sobrecargar a sus empleados con medidas de información y formación, ya que esto sólo suele provocar reacciones defensivas y resistencia interna. Tienen que hacer una elección inteligente para no abrumar a los usuarios, es importante que los responsables de seguridad informática den a los empleados tiempo suficiente y no les pidan que hagan todo a la vez para no sobrecargarlos. Si se castiga la mala conducta, se corre el riesgo de asustar e intimidar a los empleados. En el peor de los casos, esto puede condicionar la actitud defensiva ante la necesidad de repensar y cambiar su propio comportamiento en materia de seguridad informática.
Para llevarlo a cabo, Hornetsecurity ha desarrollado una solución integral basada en Inteligencia Artificial que combina formatos de aprendizaje innovadores y gamificación, con una de las simulaciones de phishing más avanzadas. A través del uso de una combinación de e-learning interactivo, videos cortos y cuestionarios, los participantes reciben información importante sobre los crecientes riesgos cibernéticos, reforzando su concienciación sobre las amenazas en ciberseguridad.
Security Awareness Service de Hornetsecurity funciona de forma totalmente automatizada y mide continuamente el comportamiento de seguridad de los empleados, lo que significa que la formación y las simulaciones de phishing se adaptan a las necesidades individuales de cada usuario, sin que los administradores o responsables de seguridad informática tengan que intervenir.
El resultado es una cultura proactiva de la seguridad y unos empleados formados que reconocen los ciberataques y los rechazan con eficacia y, de esta manera, conocen y tienen en cuenta su responsabilidad con la empresa.
