Comprensión del riesgo humano: El factor del 48%

Comprensión del riesgo humano: El factor del 48%Si bien las amenazas externas de hackers expertos están evolucionando, el factor humano interno sigue siendo un desafío significativo.

Puntos clave

  • El 48% de los empleados incurre en comportamientos de riesgo en línea que exponen a sus organizaciones a ciberamenazas.
  • El 13% realiza múltiples acciones de riesgo, como hacer clic en correos electrónicos de phishing, ejecutar malware o infringir las políticas web.
  • Los gerentes y los puestos de cara al público, como el de ventas, son los blancos más comunes, mientras que los nuevos empleados y el personal de laboratorio son los más vulnerables.
  • Las intervenciones personalizadas y la formación continua son fundamentales para mitigar el riesgo humano.

El ciberriesgo comienza con el comportamiento humano

La ciberseguridad no se trata de firewalls ni de sistemas de monitorización, sino de personas. Según el Informe Mimecast 2024 sobre la exposición del riesgo humano, el 48% de los empleados incurre en comportamientos de riesgo en línea que exponen a sus organizaciones a ciberamenazas. Esto representa que casi la mitad de los empleados dejan sus organizaciones vulnerables a ataques.

La primera línea de defensa cibernética ha cambiado. Si bien las amenazas externas de hackers expertos están evolucionando, el factor humano interno sigue siendo un desafío importante. Para abordar esto, necesitamos comprender los tipos de comportamientos que los empleados están adoptando, por qué existen estos riesgos y cómo pueden responder las empresas.

48% de los comportamientos de riesgo más comunes de los empleados

El informe de Mimecast identifica tres comportamientos clave que exponen constantemente a las organizaciones a riesgos cibernéticos:

  • Hacer clic en correos electrónicos de phishing: Los empleados siguen cayendo en enlaces de phishing, y el 3% de los usuarios no superan tanto las simulaciones de phishing como los ataques reales.
  • Descargar o ejecutar malware: Los empleados ejecutan software involuntariamente que facilita la entrada a actores maliciosos.
  • Incumplir las políticas de navegación web: Desde visitar sitios web de riesgo hasta ignorar los protocolos de TI, los errores de navegación a menudo conducen a vulnerabilidades.

Curiosamente, si bien la mayoría de los comportamientos de riesgo ocurren como incidentes aislados, el 13 % de los empleados realiza múltiples acciones de riesgo, lo que aumenta significativamente la probabilidad de provocar una vulneración.

El informe destaca que el riesgo cibernético no se distribuye equitativamente. Ciertos roles y niveles de antigüedad experimentan una mayor exposición que otros.

  • Los gerentes son el grupo más atacado, pero también el menos propenso a hacer clic en correos electrónicos de phishing. Sin embargo, su mayor tasa de ataques significa que enfrentan el mayor riesgo anual.
  • Los nuevos empleados son particularmente vulnerables a los correos electrónicos de phishing, y las tasas de clics disminuyen a medida que aumenta la antigüedad. Por el contrario, los empleados con mayor antigüedad son atacados con mayor frecuencia simplemente porque sus direcciones de correo electrónico son más conocidas.
  • Los empleados de laboratorio y los clientes, aunque no son atacados con frecuencia, tienen tasas de clics alarmantes, lo que indica que la capacitación para estos grupos podría reducir drásticamente el riesgo.

Además, los vendedores y los miembros de la junta directiva, ambos con roles de alta exposición al público, reciben frecuentes intentos de phishing. Sus roles a menudo les otorgan altos privilegios de acceso, lo que hace que cualquier ataque exitoso contra estos usuarios sea particularmente devastador.

¿Por qué los empleados siguen expuestos a riesgos después de la capacitación?

Un aspecto particularmente revelador del estudio es que el riesgo humano no es puramente conductual, sino también situacional. Los empleados que trabajan de cara al público o en puestos de alto nivel están inherentemente más expuestos simplemente por la naturaleza de su trabajo.

Por ejemplo, los gerentes tienen una tasa de clics más baja en correos electrónicos de phishing que la mayoría de los empleados, pero lidian con muchos más intentos. El volumen de ataques eleva su perfil de riesgo, lo que sugiere que protegerlos de las amenazas (mediante sistemas de filtrado mejorados) es tan vital como la capacitación adicional.

¿Cómo pueden las empresas abordar el riesgo humano de forma eficaz?

La gestión del riesgo humano requiere una estrategia multifacética. Las organizaciones no pueden depender únicamente de programas de capacitación o soluciones técnicas universales. Las intervenciones personalizadas son la clave del éxito.

  • Identificar los grupos de alto riesgo: Al comprender qué empleados son los más vulnerables o los más propensos a hacer clic en correos electrónicos de phishing, se pueden priorizar las iniciativas donde tengan mayor impacto.
  • Adaptar los programas de capacitación: En lugar de lecciones genéricas, ofrecer orientación específica para cada puesto. Por ejemplo, los vendedores podrían necesitar aprender a analizar los correos electrónicos con ojo crítico, mientras que los empleados de TI necesitan recordatorios constantes sobre las políticas de navegación web.
  • Prevenir la segmentación: Para puestos como gerentes o miembros de la junta directiva, protegerlos de los ataques de phishing mediante defensas de TI avanzadas puede ser más efectivo que la capacitación adicional.
  • Reforzar la formación continuamente: La ciberseguridad no es un curso único. Los empleados necesitan actualizaciones periódicas y simulaciones en constante evolución para mantenerse preparados.

Ninguna empresa es inmune a los riesgos cibernéticos, pero el Informe de Mimecast sobre la Exposición de Riesgos Humanos deja algo claro: mitigar el riesgo comienza por comprender a sus empleados. Los datos muestran que los comportamientos de riesgo se pueden reducir mediante formación específica, estrategias de defensa más inteligentes y un enfoque proactivo para identificar vulnerabilidades.

¿Quiere saber más? Descubra cómo su empresa puede combatir los comportamientos de riesgo impulsados ​​por el ser humano. A medida que aumenta la preocupación por el riesgo humano, el Informe sobre el Estado del Riesgo Humano de Mimecast arroja luz sobre cómo las organizaciones pueden gestionarlo.

Descargue el informe completo para obtener más información.