Los CISO saben que las mejores prácticas en la gestión de la seguridad de la información se reducen tanto a las personas como a la tecnología. Sin empleados y una cultura de seguridad sólida de su lado, la implementación de tecnología no detendrá a los actores de amenazas, que continúan ingresando a las organizaciones.
Parece que los empleados de Asia-Pacífico no entienden el mensaje. La empresa de seguridad cibernética Proofpoint encuestó recientemente a 7.500 empleados y 1.050 profesionales de la seguridad en 15 países, incluidos Australia, Japón, Corea del Sur y Singapur. El La empresa descubrió que en Asia y el Pacíficomuchos empleados confiesan comportamientos que aumentan el riesgo de verse comprometidos (como acceder a sitios web inapropiados) a pesar de saber que lo que están haciendo es riesgoso.
Muchos empleados citan como razones la comodidad y la necesidad de rapidez. Una gran proporción tampoco está segura de sus responsabilidades en materia de seguridad o cree que es trabajo de otra persona, a pesar de la inversión que se ha invertido en educación y concientización sobre seguridad cibernética en toda la región.
¿Cuántos empleados están tomando acciones riesgosas?
El 63% de los empleados en los cuatro países encuestados de la región de Asia y el Pacífico asumen riesgos con la seguridad, según el informe State of the Phish de Proofpoint. Para hacer este hallazgo más preocupante, una gran proporción de ellos (98%) sabía que lo que estaban haciendo era riesgoso mientras lo hacían, pero lo hicieron de todos modos.
VER: Manténgase a la vanguardia de estos principales tendencias de seguridad cibernética en Australia.
Sin embargo, los empleados japoneses son los que corren menos riesgos de ciberseguridad. Más de la mitad (53%) de los encuestados de Japón dicen que nunca toman medidas riesgosas, en comparación con un promedio global del 29%. Proofpoint especuló que los valores culturales de Japón y su enfoque en la disciplina pueden estar detrás del desempeño relativamente mejor de Japón en materia de seguridad.
Los empleados de Asia-Pacífico corren menos riesgos que los de los mercados globales
Los empleados de Asia-Pacífico tienen menos probabilidades de asumir riesgos en comparación con el promedio mundial, pero es más probable que lo hagan cuando saben que no deben hacerlo. Las estadísticas globales de Proofpoint muestran que el 71 % de los usuarios de todo el mundo realizan acciones arriesgadas y el 95 % de los empleados globales que realizan acciones arriesgadas son conscientes de los riesgos que están asumiendo.
¿Qué acciones riesgosas están tomando los empleados?
Proofpoint descubrió que cuatro de los cinco riesgos principales citados por los profesionales de la seguridad son comportamientos comunes entre los usuarios. Por ejemplo, el principal riesgo citado por los profesionales cibernéticos (acceder a un sitio web inapropiado) fue el cuarto comportamiento de riesgo más común entre los empleados. (Figura A). Proofpoint sugirió que los empleados pueden no tener claro que estos son riesgosos.
La conducta de riesgo más común admitida por los empleados encuestados en la región fue el uso de un dispositivo de trabajo para actividades personales. Esto a pesar de que puede aumentar la susceptibilidad al phishing. Por ejemplo, los empleados pueden recibir y confiar en los correos electrónicos de phishing que reciben en una cuenta personal, poniendo en riesgo la seguridad.
Los empleados también reutilizaban o compartían activamente contraseñas, conectaban su dispositivo de trabajo sin usar una VPN en un lugar público y respondían correos electrónicos y mensajes SMS de alguien que no conocían.
¿Por qué los empleados toman acciones riesgosas?
Los empleados revelaron las razones principales por las que adoptan comportamientos de riesgo en materia de seguridad cibernética:
- El 54% se arriesgó porque era más conveniente.
- El 38% lo había hecho para ahorrar tiempo en su trabajo.
- El 23% tuvo un comportamiento impulsado por una fecha límite urgente.
También se descubrieron razones menos comunes por las que los empleados asumieron riesgos con la seguridad cibernética:
- El 19% tomó riesgos para ahorrar dinero.
- El 19% había tomado atajos para cumplir los objetivos de desempeño.
- El 11% intentaba alcanzar un objetivo de ingresos empresariales.
PREMIUM: Proteja su organización con una política de seguridad de la información.
Los empleados no están seguros de su responsabilidad en materia de seguridad.
Los empleados de la región de Asia y el Pacífico fueron los que más probablemente entre los empleados globales encuestados dijeron que no estaban seguros de su responsabilidad personal en materia de seguridad cibernética. Proofpoint encontró que el 57% de los empleados encuestados en la región dijeron que no estaban seguros de sus responsabilidades, en comparación con el 54% en todo el mundo.
La encuesta también reveló que los equipos de seguridad de TI confían demasiado en el nivel de conciencia de responsabilidad de los empleados. Mientras que el 84% de las personas encuestadas en materia de seguridad de TI dijeron que sus empleados creían que eran responsables de la seguridad, solo el 39% de los propios empleados dijeron que lo consideraban parte de sus responsabilidades (Figura B).
¿Qué pueden hacer las organizaciones de Asia y el Pacífico ante el problema de los empleados?
No hay duda de que los ciberprofesionales en APAC necesitan que los empleados tengan claridad sobre sus responsabilidades en materia de ciberseguridad. Después de todo, APAC fue nombrada «zona cero» para el crecimiento de los delitos cibernéticos en 2023, cuando experimentó el mayor aumento año tras año en ciberataques semanales durante el primer trimestre de 2023.
Facilite el seguimiento de las mejores prácticas de seguridad cibernética
La encuesta de Proofpoint deja claro que los empleados están asumiendo riesgos cuando les resulta más conveniente o les ahorra tiempo. Los profesionales de la seguridad cibernética solo pueden reducir este riesgo si se esfuerzan por simplificar al máximo el seguimiento de prácticas seguras y eliminar cualquier barrera que los empleados puedan enfrentar para hacer lo correcto.
PREMIUM: considere usar plantillas de correo electrónico para alertas de seguridad.
Por ejemplo, esto puede implicar trabajar con equipos de TI para garantizar algo tan simple como un acceso optimizado a una mesa de ayuda de TI eficiente. Esto garantizaría un acceso optimizado a una VPN, evitaría que se conecten a redes no seguras y solucionaría problemas de cuentas o contraseñas para eliminar la tentación de compartir contraseñas.
«Trabajar con las partes interesadas del negocio y priorizar la facilidad de uso al implementar políticas de seguridad», dijo Proofpoint en su encuesta. “Los usuarios estarán menos dispuestos a eludir los sistemas si la seguridad se alinea con sus objetivos. Y es más probable que utilicen un control si es intuitivo y no requiere ninguna formación”.
Educar para crear conciencia y cultura en materia de ciberseguridad
La educación y la sensibilización seguirán desempeñando un papel fundamental. Si en muchos casos los empleados de la región todavía no están seguros de su papel en la gestión de la seguridad de la información, tiene sentido aumentar la inversión para ofrecer recursos atractivos de capacitación en seguridad cibernética que puedan contribuir a mejorar la comprensión de las amenazas.
Esto podría incluir recursos de capacitación que se centren en los principales riesgos de los profesionales de la seguridad cibernética. Los empleados podrían estar mejor informados sobre prácticas como hacer clic en enlaces o descargar archivos adjuntos que podrían aumentar el riesgo de phishing o malware, al mismo tiempo que contarían con herramientas que marquen los correos electrónicos como provenientes de fuera de la organización.
Construir una cultura de seguridad cibernética sólida es el objetivo final. Las organizaciones que tienen éxito en involucrar a sus empleados en la seguridad cibernética a menudo inscriben a sus empleados para que ayuden a la organización a detectar problemas. Por ejemplo, un Slack o un canal de comunicación que denuncie phishing puede actuar como vehículo para la presentación de informes, una competencia sana y una recompensa para el personal.