Mimecast Logo
Obtenga una cotización
    Ciberresiliencia
    Todos los temas
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Email Collaboration Threat Protection

    Cuando el riesgo se convierte en hábito: Comportamiento de los empleados y seguridad organizativa

    by Masha Sedova

    Key Points

    • Un pequeño subgrupo de empleados incurre sistemáticamente en conductas de riesgo, contribuyendo de forma desproporcionada a los riesgos de ciberseguridad de la organización. 
    • Mientras que la mayoría de los empleados sólo muestran un tipo de comportamiento de riesgo (por ejemplo, caer en el phishing), unos pocos individuos repiten múltiples acciones peligrosas (por ejemplo, phishing, descargas de malware). 
    • Proteger a los directivos y a los empleados de alto nivel de los frecuentes intentos de phishing puede ser más eficaz que una formación adicional. 

    Según "Exposing Human Risk", el comportamiento humano es un factor de riesgo significativo y a menudo pasado por alto en la ciberseguridad de las organizaciones. El informe destaca cómo las acciones arriesgadas de los empleados -como caer en esquemas de phishing, descargar malware o violar las políticas de navegación- pueden crear vulnerabilidades que exponen a las empresas a las ciberamenazas. Los resultados ofrecen una visión crítica de cómo las organizaciones pueden reducir el riesgo centrándose en comportamientos específicos de los empleados. 

    Conductas de riesgo y delincuentes habituales 

    Una de las conclusiones clave del estudio es el impacto desproporcionado de un pequeño número de empleados que adoptan comportamientos de riesgo. Estos individuos, conocidos como "delincuentes habituales", son responsables de una parte considerable de los incidentes de ciberseguridad en las organizaciones: 

    • Por ejemplo, 5% de los empleados responsables de las infracciones de navegación generaron el 62% de todos los incidentes de este tipo. 
    • Entre los comportamientos de phishing, malware y navegación, sólo 5% de los usuarios representaron el 75% de los eventos detectados.  
    • Sólo 1% de los usuarios está detrás del 44% de todos los correos electrónicos de phishing en los que se hace clic. 

    ¿Qué demuestra este patrón? Centrarse en el comportamiento de unos pocos usuarios de alto riesgo podría producir mejoras sustanciales en la reducción general del riesgo. 

    Comportamientos de riesgo múltiples 

    La investigación también muestra que, mientras que muchos empleados adoptan una sola forma de comportamiento de riesgo, un pequeño grupo de individuos realiza múltiples acciones peligrosas. De los 48% empleados que mostraron conductas de riesgo, la mayoría sólo cometió un tipo. Sin embargo, 13% incurrieron en dos tipos, y menos de 1% transgredió en tres o más áreas. 

    Curiosamente, las tasas de fracaso más elevadas se producen con intentos de phishing reales y no con pruebas de phishing simuladas. Alrededor de 3% de los empleados fallaron tanto en las pruebas de phishing real como en las simuladas, mientras que 1% cayó en el phishing real pero no en las simulaciones.  

    ¿Son engañosas las pruebas de phishing simulado? 

    Existe un marcado contraste entre las respuestas de los empleados a los ataques de phishing simulados frente a los reales. Los datos indican que los porcentajes de clics para el phishing simulado son mucho más elevados que para los ataques del mundo real, lo que puede implicar que los empleados reconocen mejor los mensajes de phishing reales. Esto plantea la cuestión de si las pruebas de phishing simuladas son demasiado complejas o poco realistas, pudiendo confundir a los empleados sobre cómo es un intento de phishing real. 

    El papel de la función laboral en la exposición al riesgo 

    Otro descubrimiento importante del estudio se refiere a cómo influyen las distintas funciones dentro de la organización en la exposición a los ataques de phishing. Los directivos, ejecutivos y personal de ventas reciben un mayor volumen de correos electrónicos de phishing debido a sus funciones más de cara al público y a sus mayores niveles de acceso. Sin embargo, suelen tener tasas de clics más bajas en comparación con otros empleados.  

    Curiosamente, aunque los directivos son objetivo de los ataques con mayor frecuencia, su mayor exposición se traduce en una mayor probabilidad de éxito de los ataques, lo que sugiere que un blindaje más proactivo de estos empleados podría ser más eficaz que limitarse a proporcionar formación adicional. 

    Lo esencial  

    Exponer Human Risk subraya la importancia de comprender y gestionar Human Risk en la ciberseguridad. Aunque las amenazas externas siguen siendo significativas, los comportamientos de los empleados -en particular de aquellos que se involucran constantemente en acciones de riesgo- plantean un reto persistente.  

    Al identificar a los usuarios de alto riesgo y adaptar las estrategias de intervención, las organizaciones pueden reducir sus riesgos de ciberseguridad. La formación periódica, las simulaciones de phishing más precisas y el blindaje específico para las funciones de alto riesgo son pasos clave para mejorar la postura de ciberseguridad de una organización. 

    Para saber más sobre lo que ocurre cuando los comportamientos de riesgo se convierten en hábito, lea el informe completo

     

    09BLOG_1.jpg
    Up Next
    Email Collaboration Threat Protection |
    La evolución de la gestión de Human Risk conectados: La nueva integración de CrowdStrike de Mimecast

    Related Articles

    Email Security 2023
    Gestión de Human Risk: Por qué es hora de replantearse la formación en sensibilización
    Insider Risk Management Data Protection
    ¿Qué es el riesgo de información privilegiada?
    Data Compliance Governance
    ¿Tiene un problema de riesgo de datos en Slack?

    Suscríbase a Cyber Resilience Insights para leer más artículos como éste

    Reciba las últimas noticias y análisis del sector de la ciberseguridad directamente en su bandeja de entrada

    Inscríbase con éxito

    Gracias por inscribirse para recibir actualizaciones de nuestro blog

    ¡Estaremos en contacto!

    Back to Top