¿Qué convierte en excepcional a una solución de concienciación en seguridad? Su capacidad para reducir los riesgos asociados al error humano. Y en un momento en que los ciberdelincuentes atacan a las personas más directamente que nunca, minimizar el riesgo es algo cada vez más fundamental para las organizaciones. Los datos aportados por el Foro Económico Mundial resaltan la necesidad de mejorar la situación: el 95 % de todos los problemas de ciberseguridad pueden atribuirse a un error humano.
Afortunadamente, la mayoría de las organizaciones actuales dan prioridad a la formación para concienciar en materia de seguridad de al menos parte (sino la totalidad), de sus empleados. El estudio realizado en el marco del informe State of the Phish 2022 de Proofpoint reveló que el 99 % de las organizaciones de todo el mundo cuentan con algún tipo de programa de concienciación en materia de seguridad.
Desafortunadamente, muchos de estos programas no son tan eficaces como podrían pensar las organizaciones. La razón está en que muchas empresas evalúan la eficacia de sus programas en la tasa de finalización de la formación. Pero los analistas del sector animan ahora a los profesionales de la seguridad a adoptar un enfoque distinto: medir parámetros de comportamiento que provoquen incidentes de seguridad reales.
Una solución que funciona
Proofpoint consiguió recientemente el premio CISO Choice 2022 en la categoría de formación para concienciar en materia de seguridad. ¿Qué tiene que ver con lo mencionado anteriormente? Este galardón significa que la solución Proofpoint Security Awareness Training no solo se considera a la vanguardia del sector, sino que además ofrece resultados de seguridad, respaldados por datos recopilados de los clientes.
De hecho, nuestros clientes observaron, en tan solo seis meses, una disminución del 40 % en el número de clics en enlaces maliciosos por parte de sus usuarios. A continuación indicamos cómo Proofpoint ha alcanzado este resultado y lo ha validado.
Los detalles de nuestro estudio
Proofpoint realizó un seguimiento a 4 millones de usuarios de casi 500 clientes durante un período de 12 meses en 2020 y 2021. Estos clientes estaban repartidos por todo el mundo y representaban a 35 sectores, tanto públicos como privados.
Para evaluar la eficacia de su programa formación para concienciar en materia de seguridad, muchas empresas midieron la disminución de las tasas de clics en simulaciones de ataques de phishing. Sin embargo, para nuestro estudio, Proofpoint eligió medir las tasas de clics durante ataques reales, ya que las simulaciones de ataques de phishing podrían estar sesgadas por varias razones, como el nivel de dificultad de la plantilla de phishing.
También queríamos evaluar el impacto de la formación para concienciar en materia de seguridad en el comportamiento real de los usuarios. ¿Aplican los usuarios sus conocimientos y competencias donde es más importante, esto es, en su buzón de correo?, y ¿han disminuido sus clics en enlaces maliciosos?
En nuestro estudio, utilizamos la solución Proofpoint Targeted Attack Protection para calcular la tasa de clics en mensajes de correo electrónico de phishing reales antes de comprar e implementar la solución Proofpoint Security Awareness Training.
Entonces comparamos las mismas tasas tres y seis meses después de la implementación de la solución. De esta formado descubrimos que los clientes que habían adoptado la solución Proofpoint Security Awareness Training presentaban, de media, una disminución del 31 % en la tasa de clics en enlaces maliciosos en solo tres meses; esta tasa superaba el 40 % después de seis meses.
Servicios gestionados para optimizar su programa y los resultados
Para obtener tales resultados en solo 90 días, es fundamental que el programa de concienciación en materia de seguridad de su organización esté rápidamente operativo.
Como en muchas organizaciones, es probable que sufra escasez de profesionales de seguridad. Pero esto no debe ser un obstáculo para poner en práctica su programa. Proofpoint puede ayudarle: nuestro equipo de servicios gestionados colabora con nuestros clientes más exigentes, con estructuras y requisitos organizativos complejos. En nuestro reciente estudio, observamos que los clientes que recurrían a nuestros servicios gestionados obtenían reducciones similares de riesgos asociados a los usuarios.
Nuestro equipo de servicios gestionados ayuda a su organización a poner en práctica un programa basado en mejores prácticas desde el primer día, para que pueda disfrutar rápidamente de una reducción de riesgos asociados a los usuarios.
Pero medir el impacto de su programa de concienciación en seguridad y comunicárselo a los cargos directivos no es siempre fácil. Para obtener más información sobre cómo evaluar el impacto de un programa de concienciación en seguridad y obtener resultados a largo plazo, descargue nuestro libro electrónico Cómo medir el impacto de un programa de concienciación en seguridad para una eficacia a largo plazo: Guía para CISO y responsables de TI.