El 48 % de los empleados incurrió en conductas que expusieron a sus organizaciones a riesgos cibernéticos, siendo las infracciones de navegación las más comunes (36 % de los usuarios). Las infracciones de navegación, a diferencia de los eventos de phishing y malware, no afectan directamente a la seguridad. Sin embargo, pueden aumentar la probabilidad de encontrarse con malware o estafas en línea.
La suplantación de identidad se ha generalizado en todos los sectores
Cabe destacar que los ataques de phishing para obtener credenciales son frecuentes en todos los sectores. La suplantación de identidad también es un tipo común de phishing en todos los sectores (especialmente en el sector de la salud y la educación).
Recibir correos electrónicos de phishing es una cosa, pero caer en ellos es algo completamente distinto. Según el análisis de Mimecast, el 89 % de los usuarios que recibieron correos electrónicos de phishing reales nunca hicieron clic en ninguno de ellos.
La tasa de clics típica de los usuarios que caen en la trampa de correos electrónicos de phishing del mundo real es del 12,5 %. La capacitación puede reducir las tasas de clics de phishing en un promedio del 25 % entre los usuarios que ya tienden a hacer clic. Aproximadamente uno de cada siete empleados fue el único responsable de activar 10 o más eventos de malware.
Los intentos de phishing simulados pueden ser demasiado complicados, lo que genera tasas de clics significativamente más altas en comparación con los ataques de phishing del mundo real. Una posible explicación es que los empleados pueden detectar con mayor facilidad los ataques de phishing reales que los simulados.
Los gerentes son el blanco de ataques de phishing con mayor frecuencia
El estudio también destaca que el riesgo humano no se distribuye de manera uniforme. Un pequeño porcentaje de usuarios es responsable de una parte desproporcionada de los incidentes de seguridad. Por ejemplo, solo el 1% de los usuarios está detrás del 44% de todos los correos electrónicos de phishing en los que se hace clic, y el 5% es responsable de todos los incidentes de malware.
En una organización de 1000 personas, se espera que 14 empleados descarguen o ejecuten malware. Siete de estos empleados activarán malware mensualmente y cuatro se encontrarán con software malicioso semanalmente.
Los gerentes son el objetivo más frecuente de ataques de phishing debido a sus perfiles públicos y mayores niveles de acceso, pero es menos probable que hagan clic en ellos. Los ejecutivos , vendedores y miembros de la junta directiva, al ser puestos de cara al público, también reciben un gran volumen de correos electrónicos de phishing.
Los empleados de laboratorio, si bien reciben menos correos electrónicos de phishing, son los que tienen más probabilidades de hacer clic en ellos, lo que resalta la diferencia entre ser el objetivo de un ataque y ser engañado. De manera similar, los empleados más nuevos son más susceptibles a los ataques de phishing.
El comportamiento humano sigue siendo una vulnerabilidad importante incluso en los entornos más seguros. Por lo tanto, los líderes en materia de ciberseguridad deben adoptar un
enfoque proactivo y centrado en el ser humano para gestionar el riesgo. Esto requiere ir más allá de la formación de concienciación básica y centrarse en el cambio de comportamiento mediante una formación y un refuerzo continuos y específicos.
Fuente y redacción: helpnetsecurity.com
