Entornos corporativos y cómo medir la efectividad de las defensas contra el phishing
- Actualidad
Un reciente sondeo de ISACA sobre estrategias de defensa contra el phishing señala que solo el 12% de los encuestados confiaban completamente en su capacidad para evaluar la efectividad de sus esfuerzos de concienciación sobre este tipo de ataques .
Los ataques de phishing vía email se han duplicado en el último año y, según las estadísticas, han supuesto unas pérdidas de 12.000 millones de dólares en 18 meses. Pese a que los profesionales de seguridad, riesgo y gobernanza son conscientes del riesgo que suponen, el estudio “Phishing Defence and Governance”, que han realizado ISACA y Terranova Security, pone de relieve que solo el 63% de las empresas monitoriza regularmente la efectividad de las medidas que toma para protegerse del phishing.
El 38% de los encuestados señaló que sus organizaciones desarrollan materiales para concienciar a los trabajadores sobre el riesgo de estos ataques y cómo proceder, y un 85% dijo que miden e informan de forma periódica la efectividad de sus programas de concienciación sobre este tema. Sin embargo, solo el 12% están seguros de la efectividad de esta evaluación.
Aún siendo algo positivo, el estudio detecta que hay una gran diferencia entre las organizaciones que realizan actividades de sensibilización, como boletines electrónicos o capacitación, y aquellas que realizan evaluaciones de lo que los empleados han aprendido, a través de simulaciones y otras herramientas.
La simulación es un método que utilizan solo el 57% de los participantes en el estudio para evaluar el conocimiento de los empleados, y a ese porcentaje hay que sumarle otro 25% de empresas que utilizan algún tipo de solución para valorar el comportamiento de los empleados ante un ataque de este tipo. No obstante, los autores del informe, señalan que sería una fórmula que ayudaría a mejorar la defensa de las empresas contra el phishing.
Esta clase de ataques no deja de crecer tanto en número como en el coste que supone para las compañías en todo el mundo, y el error humano sigue estando entre las primeras causas de todas las brechas e incidentes de seguridad. Este documento sostiene que la forma más efectiva de reducirlo es concienciando a las plantillas sobre la relevancia de la seguridad, pero al mismo tiempo utilizar la simulación para evaluar el éxito de la formación.