Comprender el Human Risk: el factor 48%

El riesgo cibernético comienza con el comportamiento humano 

La ciberseguridad no consiste en cortafuegos y sistemas de vigilancia, sino en las personas. Según el Informe Mimecast 2024 Exposing Human Risk, el 48% de los empleados tienen un comportamiento en línea arriesgado que expone a sus organizaciones a las ciberamenazas. Eso supone que casi la mitad de los empleados dejan a sus organizaciones vulnerables a los ataques. 

La primera línea en la ciberdefensa ha cambiado. Mientras que las amenazas externas de piratas informáticos expertos están evolucionando, el elemento humano interno sigue siendo un reto importante. Para hacer frente a esto, tenemos que entender los tipos de comportamientos que están llevando a cabo los empleados, por qué existen estos riesgos y cómo pueden responder las empresas. 

48% de los comportamientos de riesgo más comunes de los empleados 

El informe de Mimecast identifica tres comportamientos clave que exponen sistemáticamente a las organizaciones a riesgos cibernéticos:

1. Hacer clic en correos electrónicos de phishing: Los empleados siguen cayendo en la trampa de los enlaces de phishing, ya que 3% de los usuarios fallan tanto en las simulaciones de phishing como en los ataques de phishing reales. 
2. Descarga o ejecución de malware: Los empleados ejecutan involuntariamente software que abre la puerta a actores maliciosos. 

Violación de las políticas de navegación web: Desde visitar sitios web de riesgo hasta ignorar los protocolos informáticos, los errores de navegación suelen provocar vulnerabilidades. Curiosamente, aunque la mayoría de los comportamientos de riesgo se producen como incidentes aislados, el 13% de los empleados realizan múltiples acciones de riesgo, lo que aumenta significativamente su probabilidad de provocar una brecha. 

El informe destaca que el riesgo cibernético no se distribuye por igual. Determinadas funciones y niveles de permanencia experimentan una mayor exposición que otras. 

• Los directivos son el grupo más atacado, pero también el menos propenso a hacer clic en los correos electrónicos de phishing. Sin embargo, su mayor tasa de objetivos significa que se enfrentan al mayor riesgo anual. 
• Los recién contratados son especialmente vulnerables a los correos electrónicos de phishing, y el porcentaje de clics disminuye a medida que aumenta la permanencia en el puesto. Por el contrario, los empleados con más antigüedad se convierten en objetivo más a menudo, simplemente porque sus direcciones de correo electrónico son más conocidas. 
• Los empleados de laboratorio y los clientes, aunque no están muy dirigidos, tienen unos índices de clics alarmantes, lo que indica que la formación de estos grupos podría reducir drásticamente el riesgo. 

Además, los vendedores y los miembros de los consejos de administración, ambas funciones muy de cara al público, reciben frecuentes intentos de phishing. Sus roles a menudo les otorgan altos privilegios de acceso, lo que hace que cualquier ataque exitoso contra estos usuarios sea particularmente devastador. 

¿Por qué los empleados siguen siendo arriesgados después de la formación? 

Un aspecto especialmente revelador del estudio es que el riesgo humano no es puramente conductual, sino también situacional. Los empleados que desempeñan funciones de cara al público o de alto nivel están intrínsecamente más expuestos simplemente debido a la naturaleza de su trabajo. 

Por ejemplo, los directivos tienen un índice de clics en correos electrónicos de phishing inferior al de la mayoría de los empleados y, sin embargo, tratan con muchos más intentos. El volumen de ataques eleva su perfil de riesgo, lo que sugiere que protegerles de las amenazas (mediante sistemas de filtrado mejorados) es tan vital como la formación adicional. 

¿Cómo pueden las empresas abordar eficazmente el Human Risk? 

La gestión del riesgo humano requiere una estrategia polifacética. Las organizaciones no pueden confiar únicamente en programas de formación o soluciones técnicas de talla única. Las intervenciones a medida son la clave del éxito. 

1. Identifique los grupos de alto riesgo: Al comprender qué empleados son los más atacados o los más propensos a hacer clic en los correos electrónicos de phishing, podrá priorizar los esfuerzos allí donde tengan mayor impacto. 
2. Adapte los programas de formación: En lugar de lecciones genéricas, ofrezca orientaciones específicas para las distintas funciones. Por ejemplo, puede que los vendedores necesiten aprender a examinar los correos electrónicos con ojo crítico, mientras que los empleados de TI necesitan recordatorios continuos sobre las políticas de navegación web. 
3. Prevenir los ataques: En el caso de funciones como las de directivos o miembros del consejo de administración, protegerles de los ataques de phishing mediante defensas informáticas avanzadas puede ser más eficaz que una formación adicional. 
4. Refuerce la educación continuamente: La ciberseguridad no es un curso de una sola vez. Los empleados necesitan actualizaciones periódicas y simulacros en evolución para mantenerse preparados.

Ninguna empresa es inmune a los riesgos cibernéticos, pero el informe de Mimecast Exposing Human Risk deja clara una cosa: la mitigación del riesgo empieza por comprender a sus empleados. Los datos muestran que los comportamientos de riesgo pueden reducirse mediante una educación específica, estrategias de defensa más inteligentes y un enfoque proactivo para identificar las vulnerabilidades.

¿Quiere saber más? Sepa cómo su empresa puede combatir hoy mismo los ciberriesgos de origen humano. Lea el informe completo Exposing Human Risk Report.