En una atmósfera de riesgo volátil, nada ha sido más amenazante que el phishing. Este único centro es el punto de partida para la mayoría de los ataques cibernéticos más devastadores de la actualidad, desde el ransomware hasta el compromiso de credenciales. Google ha registrado  2.145.013  sitios de phishing al 17 de enero de 2021. Esto representa un aumento de los 1.690.000 del 19 de enero de 2020 (un 27% más en 12 meses). Eso tampoco se está desacelerando. Después de  un año excepcional para el riesgo de phishing en 2020, era difícil creer que hubiera más bienes raíces para escalar el phishing. Desafortunadamente, ese no fue el caso, y las empresas que se abstuvieron de la capacitación en concientización sobre seguridad durante la pandemia están pagando el precio. 

Es importante que las empresas recuerden esto: la principal causa de las violaciones de datos siguen siendo los seres humanos. Específicamente, errores cometidos por empleados. Es demasiado fácil para los ciberdelincuentes inventar mensajes de phishing convincentes que pueden engañar a los empleados para que entreguen credenciales o abran un documento cargado de ransomware: el  48% de los archivos adjuntos de correo electrónico maliciosos  son archivos de Office. Los empleados también temen perderse un mensaje importante mucho más de lo que temen desencadenar un malware o caer en un ataque de phishing. Se estima que el  45%  de los empleados hacen clic en los correos electrónicos que consideran sospechosos de todos modos “por si acaso es importante”. 

En una encuesta de respuestas a simulaciones de phishing, todas las industrias tenían problemas con los empleados que hacían clic en un correo electrónico de phishing. CyberNews informa  que es probable que 1 de cada 3 empleados haga clic en los enlaces en los correos electrónicos de phishing, y es probable que 1 de cada 8 empleados comparta la información solicitada en un correo electrónico de phishing. Esto es especialmente problemático en algunas industrias. Las 5 industrias principales con mayor riesgo de sufrir un incidente de ciberseguridad relacionado con el phishing son:

• Consultante
• Ropa y complementos
• Educación
• Tecnología
• Conglomerados

El entrenamiento de conciencia de seguridad y resistencia al phishing es un método probado para mitigar el riesgo de phishing. Las empresas que participan en capacitaciones periódicas de concienciación sobre seguridad que presentan resistencia al phishing tienen hasta un  70% menos de incidentes de ciberseguridad. Pero muchas empresas han bajado la prioridad a la capacitación en la caótica revuelta del mundo empresarial en el último año, incluso cuando aumentó el riesgo de phishing y los  empleados que no estaban capacitados para trabajar de forma remota dieron el paso. Además, incluso si se imparte capacitación, se realiza de una manera tan inconexa que los empleados no reciben suficiente capacitación sobre las amenazas correctas. Con todo, demasiadas empresas están cortejando el desastre al descuidar la capacitación.

Pero realizar algunos cursos de formación para su personal no es suficiente para fomentar una sólida conciencia de la seguridad cibernética. Asegurarse de que todos los miembros del personal, desde el C-Suite hasta los pasantes, están tomando y actualizando cursos de capacitación con regularidad es vital para ganar y mantener alta la conciencia y los incidentes de ciberseguridad causados ​​por el phishing bajo. En  un informe del gigante de consultoría Accenture que detalla las características de una organización ciber resiliente , los investigadores ubicaron el número ideal de cursos de capacitación para empleados cada año en 11, o solo un poco menos de uno por mes. Esto evita que los cursos se vuelvan rutinarios, pero mantiene el tema fresco en la mente de los empleados. 

Fuente: ID Agent