A pesar de advertir sobre comportamientos que podrían exponer a sus organizaciones a un mayor grado de riesgo, el 55 % de los profesionales de la seguridad admiten que ellos mismos no son ciberángeles y que se han involucrado en actividades de riesgo.
Esto es según un estudio informal de profesionales de la seguridad que visitaron el stand de la empresa de capacitación KnowBe4 en la reciente feria comercial Infosecurity Europe en Londres, que tuvo lugar en junio.
Uno de cada tres participantes en la encuesta KnowBe4 dijo que había utilizado servicios de entretenimiento o transmisión en contravención de la política de la organización, el 15 % se había suscrito a demasiadas suscripciones de correo electrónico y el 13 % había abierto archivos adjuntos de correo electrónico potencialmente maliciosos.
Mientras tanto, poco menos del 9% dijo que había descargado una aplicación no autorizada que podría haber sido, o era, maliciosa; el 8% había visitado un sitio web de juegos o apuestas; el 8% había utilizado medios extraíbles como una unidad USB; el 8 % había utilizado servicios de copia de seguridad o almacenamiento en la nube no autorizados para documentos relacionados con el trabajo; y el 3% había utilizado un sitio web de entretenimiento para adultos.
Un número mucho mayor de profesionales de seguridad dijeron que habían observado a usuarios supuestamente bajo su protección participando en los mismos comportamientos, y el 80 % detectó de forma rutinaria posibles infracciones, siendo la más común el uso de servicios de entretenimiento o transmisión.
“Los hallazgos de este estudio demuestran no solo la necesidad de una capacitación regular sobre concientización sobre seguridad, sino también de cultivar una sólida cultura de seguridad. Esto significa ir más allá de educar al personal sobre las amenazas, cómo responder y enseñarles a identificar cómo pueden ayudar a prevenirlas”, dijo Javvad Malik, principal defensor de la conciencia de seguridad en KnowBe4.
“La creación de una cultura de seguridad requiere un cambio de actitud, comportamiento, percepción de la responsabilidad y normas organizacionales generales, de modo que las mejores prácticas se integren en las operaciones y el pensamiento cotidianos. La seguridad cibernética debe ser reconocida en toda la empresa como una prioridad. Si esto se logra con éxito, los usuarios serán más conscientes de lo que hacen y se tomarán el tiempo que necesiten para responder adecuadamente a las posibles amenazas”.
Según los datos extraídos de la herramienta de capacitación cibernética en tiempo real de KnowBe4, SecurityCoach, los comportamientos enumerados anteriormente son los precursores más comunes de un ciberataque o violación, que van desde ser víctima de estafas o fraudes hasta violaciones de datos en toda regla o ataques de ransomware.
Por lo tanto, el hecho de que tantos profesionales de la seguridad atrapen a personas que se involucran en ellos debería ser motivo de gran preocupación, especialmente cuando no se puede decir que tantos estén por encima de todo reproche en lo que respecta a sus propios hábitos de seguridad.
Un poco menos de la mitad de los que respondieron a la encuesta dijeron que creían que las personas se entregaban a comportamientos riesgosos porque no sabían que hacerlo era un problema, mientras que el 36 % de los profesionales de la seguridad dijeron que pensaban que los usuarios eran perfectamente conscientes de que no deberían estar haciendo lo que estaban haciendo, pero que en realidad no les importaba, un problema perenne cuando se trata de capacitación en concientización sobre seguridad.
Equipos de ventas en el muelle
KnowBe4 también preguntó a los encuestados cuál de los miembros del personal que tienen la tarea de proteger era más probable que tratara de eludir las mejores prácticas de seguridad, y encontró que el 26 % dijo que aquellos en las funciones de ventas y marketing tendían a ser los más descuidados cuando se trataba de higiene cibernética.
También estaba en problemas C-Suite, aunque un problema algo teórico en su caso, con un 17% que dijo que los líderes de su organización estaban jugando rápido y suelto con la seguridad cibernética, y posiblemente como era de esperar, el departamento de TI, que el 11% dijo que era más probable que no cumpliera con las pautas.