El nuevo estudio MediaPRO también encuentra que la administración tuvo un desempeño peor que el de los empleados de nivel de entrada y de nivel medio en la forma de manejar un correo electrónico sospechoso de suplantación de identidad.
Según el tercer informe anual sobre el estado de la privacidad y la seguridad de MediaPRO, el 75% de los encuestados representa un riesgo moderado o grave para los datos de su compañía, y el 85% de los trabajadores financieros muestran cierta falta de información sobre seguridad de datos y privacidad.
Tom Pendergast, jefe de estrategias de seguridad y privacidad del proveedor de capacitación y conciencia sobre seguridad MediaPRO, dice que la firma encuestó a más de 1,000 empleados en los Estados Unidos para cuantificar el estado de privacidad y conciencia de seguridad en 2018. Este año, más personas cayeron en la categoría de riesgo que en 2017, y ese número casi se ha duplicado desde la encuesta inaugural, dice.
«Los resultados generales revelaron una tendencia que no nos agradó ver, que los empleados obtuvieron peores resultados en todos los ámbitos en comparación con el año anterior», dice Pendergast. «Si bien creo que hay una cierta cantidad de fatiga por la seguridad de las noticias de todos los ataques, si en cinco años no veo un cambio significativo, me sorprenderé. Hay una conciencia cultural y empresarial de la necesidad de hacer un buen trabajo en esto. zona.»
MediaPRO basó su estudio en una variedad de preguntas que se centran en escenarios del mundo real, como identificar correctamente la información personal, conectarse a redes públicas de Wi-Fi y detectar correos electrónicos de phishing. Sobre la base del porcentaje de privacidad y comportamientos conscientes de la seguridad, los encuestados fueron asignados a uno de los tres perfiles de riesgo: riesgo, principiante o héroe.
Aquí hay una miniatura de algunos otros hallazgos notables:
1. El desempeño de los empleados fue peor este año en todas las ocho verticales de la industria medidas. Los encuestados hicieron mucho peor en la identificación de señales de advertencia de malware, sabiendo cómo detectar un correo electrónico de suplantación de identidad y seguridad de redes sociales.
2. Los gerentes mostraron comportamientos más riesgosos que los empleados de niveles inferiores. La administración se desempeñó peor que sus homólogos de nivel medio y de entrada cuando se le preguntó cómo responder a un correo electrónico de suplantación de identidad sospechoso. Solo el 69% de los gerentes eligió la respuesta correcta frente al 86% de los empleados de nivel inferior. Y casi uno de cada seis encuestados a nivel de administración (17%) optó por abrir un archivo adjunto inesperado conectado a un correo electrónico sospechoso de suplantación de identidad.
3. Los empleados del sector financiero tuvieron el peor desempeño. De los siete sectores industriales verticales examinados, los empleados financieros obtuvieron los puntajes más bajos. El 85% mostró cierta falta de ciberseguridad y conocimiento de privacidad de datos. Y, el 19% de los trabajadores de finanzas pensaron que abrir un archivo adjunto era una respuesta adecuada a un correo electrónico sospechoso de suplantación de identidad.
4. Demasiados empleados no pudieron identificar correos electrónicos de phishing. El 14% de los empleados no pudo identificar un phish, un aumento notable del 8% en 2017. Y, el 58% no pudo definir el compromiso del correo electrónico comercial.
«Necesitamos capacitar a la gente porque nos permite reducir el número de incidentes», dice Frank Dickson, un analista de IDC que cubre la seguridad. «Pero también es responsabilidad de la organización proporcionar las herramientas para detener estos ataques. La organización debe ser dueña de esto porque es un problema que hemos tenido durante mucho tiempo».
Pendergast dice que lo más preocupante para él fue que algunos encuestadores no siempre sabían cómo responder adecuadamente ante un posible intento de phishing. Por ejemplo, cuando se le pregunta cómo responder correctamente a un correo electrónico de phishing, el 10% dice que abriría el contenido para verificar su contenido; y otro 8% dice que haría clic en un enlace para verificar la legitimidad del sitio web al que conduce.
Mientras que el 81% dice que informaría el supuesto correo electrónico de suplantación de identidad a su departamento de TI (la respuesta correcta), Pendergast dice que esos números son alarmantes, dado que los atacantes solo necesitan un error para tener éxito.
«Solo se necesita una persona para hacer clic en el correo electrónico incorrecto que permite el malware que filtra los datos de su empresa», dice Pendergast. «Sin que todos estén más atentos, los datos de personas y de la compañía continuarán en riesgo».
Fuente: Darkreading.com
