3.9 millones de dólares el costo de una violación de datos.
El trabajo remoto es una de las actividades que ha potenciado la conciencia entre los trabajadores sobre la importancia de la ciberseguridad, resultado de ello es que 95 por ciento de los empleados ha recibido capacitación sobre phishing para detectar correos sospechosos; sin embargo, esto no sucede en el caso de ataques ransomware, donde las herramientas de seguridad y la información sobre los riesgos que genera, aún son insuficientes.
Se han invertido años de capacitación para que los trabajadores eviten dar “clic” en enlaces sospechosos y para que ejerzan las mejores prácticas al elaborar una contraseña, pero estas estrategias no han funcionado como les hubiera gustado a los profesionales de InfoSec.
“Los números no mienten: todavía hay demasiados empleados que nunca cambian sus contraseñas y dos tercios aún no usan una herramienta de administración de contraseñas. Poniendo esto en perspectiva, está claro que los programas de concientización sobre ciberseguridad no están logrando su objetivo”.
En lugar de protegerse con contraseñas complejas, con caracteres y números sin sentido, las personas siguen utilizando opciones obvias que los piratas informáticos pueden adivinar fácilmente, lo que para Fortinet el problema no es en sí la conciencia, sino el comportamiento humano.
Pero además de apuntar contraseñas vulnerables, los atacantes todavía dependen de ataques phishing y de ransomware dirigidos, y los correos electrónicos son el medio idóneo para ello.
Estos pueden dirigirse a personas de una organización, ya sea directa o mediante una nueva técnica en la que insertan correos electrónicos de phishing en un hilo de correo electrónico activo para aumentar la probabilidad de pulsarlo. Este tipo de ataque se le conoce como “pesca submarina”, y si el objetivo es un miembro de la junta directiva de una organización, se llama “phishing de ballenas”.
El ransomware se ha convertido en una amenaza creciente, con ataques a gran escala que buscan a víctimas descuidadas, que requiere como punto de partida empleados que se sientan parte del equipo de seguridad, que puedan comprender las repercusiones de un evento de este tipo y cómo les afecta personalmente.
La clave para mejorar el perfil de riesgo de una organización, subrayó, es “involucrar a los empleados, de una forma u otra, en la aceptación y el cumplimiento de sus responsabilidades de seguridad”.
“Todo, desde los errores de configuración hasta una solución debilitada, puede disminuir el poder de las defensas de ciberseguridad empresarial para detectar y prevenir ciberataques. Sin embargo, el mayor problema sigue siendo el factor humano”, alertó la empresa de seguridad de red Fortinet.
En Estados Unidos el costo total promedio de una violación de datos es de 3.9 millones de dólares, lo que deja en entredicho la efectividad de los programas de concientización hasta ahora abordados, de ahí la importancia de involucrar a los empleados sobre la importancia de observar todas las medidas necesarias para alcanzar una ciberseguridad óptima en una organización.
C$T-EVP
