6 de cada 10 empleados no tienen ni pajolera idea de seguridad

Perdonadme por la exageración, pero en esta ocasión usaré el clickbait para llamar la atención sobre algo que considero realmente importante. Vale, igual algo saben, pero estudios como el de hoy demuestran que un 61% de empleados no tienen conceptos mínimos sobre ciberseguridad en su puesto de trabajo ni en su vida cotidiana.

Así que entre 6 y 7 de cada 10 han quedado señalados, de entre aquellos que llevaron a cabo el muestreo de TalentLms.

El estudio fue realizado a petición de Kenna Security y comprendió a 1200 trabajadores, para los que se intentó que respondieran sobre sus hábitos referentes a la seguridad, además de su conocimiento de las «buenas prácticas» (ya sabéis, contraseñas seguras, uso de segundo factor de autenticación, etcétera).

Los trabajadores suspenden en ciberseguridad

• El 17% de los encuestados que trabajan en servicios informáticos pasó el test, comparado con un 57% de los empleados del sector de salud.
• Un 93% de aquellos trabajadores del sector de la información reportó haber recibido formación en ciberseguridad, lo que es más que el 67% de los trabajadores del sector médico.
• El 60% de los empleados que fallaron el test comentó sentirse «confiado» acerca de las amenazas.
• Un 74% de los participantes que afirmó sentirse a salvo, falló todas las preguntas.
• Los empleados más jóvenes (18-24 años) fueron los que peor respondieron al test en promedio, con un 16% de aprobados. Entre los grupos demográficos, los mejores fueron aquellos entre 25-34 y a partir de 54 años, con un promedio de éxito del 43%.

Es decir, que sigue habiendo una necesidad importante de formar y concienciar a los empleados (tanto monta).

Asegúrate de ejecutar entrenamientos constantes e incluir los teléfonos en dichas sesiones […] Considera cada texto, email, mensaje de WhatsApp o comunicación que cree una situación sensible al tiempo, como una bandera roja. Los usuarios reberían aproximarse a cualquier mensaje malicioso con extremo cuidado, o dirigirse directamente al dpto de IT / seguridad para que lo examinen.

Hank Schless, LookOut

Conclusiones

Está bien que los trabajadores se formen en sus roles y tareas principales, pero si descuidamos elementos transversales como la ciberseguridad (¿hablamos de Ransowmare por ejemplo?) podemos estar perdiendo información sensible, imagen de marca y dinero -esto último tanto de forma directa como indirecta- así que es hora de darle a la concienciación y la formación en seguridad informática, la importancia que se merece.

Comienza por formar en temas como phishing -sigue siendo el vector de ataque en más del 80% de casos) y buenas prácticas generales. Es vital saber reconocerlo.

Cuanto más interactivo y medible, mejor, pues los programas de formación no deben dejar de evolucionar a lo largo del tiempo, permitiendo que sepamos cómo evoluciona la respuesta de los empleados a las nuevas iteraciones.