Cuando el riesgo se convierte en hábito: comportamiento de los empleados y seguridad organizacional

Cuando el riesgo se convierte en hábito: comportamiento de los empleados y seguridad organizacional

Puntos Clave

  • Un pequeño subconjunto de empleados incurre constantemente en comportamientos de riesgo, lo que contribuye desproporcionadamente a los riesgos de ciberseguridad organizacional.
  • Si bien la mayoría de los empleados solo exhiben un tipo de comportamiento de riesgo (p. ej., caer en el phishing), algunos individuos repiten múltiples acciones peligrosas (p. ej., phishing, descargas de malware).
  • Proteger a los gerentes y empleados de alto nivel de los intentos frecuentes de phishing puede ser más efectivo que una capacitación adicional.

Según el informe «Exposing Human Risk« de Mimecast, el comportamiento humano es un factor de riesgo significativo y a menudo ignorado en la ciberseguridad organizacional. El informe destaca cómo las acciones arriesgadas de los empleados, como caer en el phishing, descargar malware o infringir las políticas de navegación, pueden crear vulnerabilidades que exponen a las empresas a ciberamenazas. Los hallazgos ofrecen información crucial sobre cómo las organizaciones pueden reducir el riesgo al abordar comportamientos específicos de los empleados.

Comportamientos de Riesgo e Infractores Habituales

Una de las conclusiones clave del estudio es el impacto desproporcionado de un pequeño número de empleados que incurren en comportamientos de riesgo. Estos individuos, conocidos como «infractores habituales», representan una parte considerable de los incidentes de ciberseguridad en las organizaciones:

  • Por ejemplo, el 5% de los empleados responsables de infracciones de navegación generaron el 62% de todos los incidentes de este tipo.
  • En cuanto a phishing, malware y comportamientos de navegación, tan solo el 5% de los usuarios representó el 75% de los eventos detectados.
  • Tan solo el 1% de los usuarios está detrás del 44% de todos los correos electrónicos de phishing en los que se hizo clic.

¿Qué demuestra este patrón? Centrarse en el comportamiento de unos pocos usuarios de alto riesgo podría generar mejoras sustanciales en la reducción general del riesgo.

Comportamientos de Riesgo Múltiples

La investigación también muestra que, si bien muchos empleados incurren en un solo tipo de comportamiento de riesgo, un pequeño grupo de individuos realiza múltiples acciones peligrosas. Del 48% de los empleados que demostraron comportamientos de riesgo, la mayoría solo cometió un tipo. Sin embargo, el 13 % incurrió en dos tipos de ataques, y menos del 1 % incurrió en transgresiones en tres o más áreas.

Curiosamente, las tasas de fracaso más altas se dan con intentos reales de phishing, en lugar de con pruebas simuladas. Alrededor del 3 % de los empleados no superaron las pruebas de phishing, tanto reales como simuladas, mientras que el 1 % falló en las pruebas de phishing reales, pero no en las simuladas.

¿Son engañosas las pruebas simuladas de phishing?

Existe un marcado contraste entre las respuestas de los empleados a los ataques de phishing simulados y a los reales. Los datos indican que las tasas de clics para los ataques simulados de phishing son mucho más altas que para los ataques reales, lo que podría implicar que los empleados reconocen mejor los mensajes de phishing reales. Esto plantea la pregunta de si las pruebas simuladas de phishing son demasiado complejas o poco realistas, pudiendo inducir a error a los empleados sobre cómo se ve un intento real de phishing.

El rol del puesto en la exposición al riesgo

Otro descubrimiento importante del estudio se refiere a cómo los distintos roles dentro de la organización influyen en la exposición a los ataques de phishing. Los gerentes, ejecutivos y personal de ventas reciben un mayor volumen de correos electrónicos de phishing debido a sus roles más públicos y mayores niveles de acceso. Sin embargo, tienden a tener tasas de clics más bajas en comparación con otros empleados.

Curiosamente, si bien los gerentes son blanco de ataques con mayor frecuencia, su mayor exposición resulta en una mayor probabilidad de éxito de los ataques, lo que sugiere que una protección más proactiva de estos empleados podría ser más efectiva que simplemente brindarles capacitación adicional.

En resumen

Exponer el riesgo humano subraya la importancia de comprender y gestionar el riesgo humano en ciberseguridad. Si bien las amenazas externas siguen siendo significativas, los comportamientos de los empleados, en particular los de aquellos que constantemente realizan acciones de riesgo, representan un desafío constante.

Al identificar a los usuarios de alto riesgo y adaptar las estrategias de intervención, las organizaciones pueden reducir sus riesgos de ciberseguridad. La capacitación regular, las simulaciones de phishing más precisas y la protección específica para roles de alto riesgo son pasos clave para mejorar la postura de ciberseguridad de una organización.

Para obtener más información sobre qué sucede cuando los comportamientos de riesgo se convierten en un hábito, lea el informe completo.