Interesante estudio realizado en España por la consultora PwC muestra que el 86% de las organizaciones carece de una cultura de ciberseguridad (Security Awareness) , además de desconocer los riesgos que conlleva que los empleados sean víctimas de una estafa y fraude empresarial. Cuando analizamos este estudio, nos preguntamos ¿Cómo estará Chile en esta materia? entendiendo que España se encuentra mucho mas avanzada en materia de Security Awareness que nuestro país, por lo tanto, es una señal clara que estamos débiles y es urgente tomar medidas que nos permitan crear una cultura de ciberseguridad, para lo cual al término de este artículo conoceremos la visión disruptiva de Inntesec y cómo nos puede ayudar a mejorar, y no solo eso sino avanzar en un modelo de concientización conocido como Human Firewall, el siguiente nivel de la Ciberseguridad.
El estudio arrojó que las organizaciones en España tienen poca cultura de ciberseguridad, al igual que la ciudadanía. En este ámbito analizaron a fondo a 50 entidades de diferentes tamaños y de todo el territorio nacional. El estudio, consistió en entrevistas a expertos y encuestas a responsables de ciberseguridad, sitúa el nivel de cultura medio en un 2,8, en una escala que va a 1 a 5, lo que implica que existe “un margen de mejora importante”. “Esto significa que el sector empresarial está en proceso de tomar conciencia de la necesidad de establecer un plan de cultura, capacitación y concienciación en ciberseguridad”, aseguran los autores del informe.
Definición de la Cultura de Ciberseguridad
La cultura en el ámbito de la ciberseguridad se manifiesta en conocimientos, hábitos, percepciones, actitudes, normas y valores de las personas en relación con la protección de la información. El informe destaca que las organizaciones que disponen de un mayor nivel cultural en este ámbito son aquellas con más de 10.000 empleados y más de 5.000 millones de euros de ingresos, “debido a que cuentan con una mayor cantidad de recursos y mayor grado de exposición a los riesgos y amenazas derivados del factor humano”. En estas organizaciones hay preocupación por el cumplimiento de la legislación, los estándares en los que se certifican y el seguimiento de los procesos internos.
Actualmente, alrededor del 95% de los ciberataques que sufren las empresas tiene su origen en el llamado "factor humano", básicamente en los deslices de los empleados, ya sea por desconocimiento o por error. Una cultura de ciberseguridad en las empresas ayuda a hacer entender que las recomendaciones de seguridad de la información son una parte integral del trabajo, los hábitos y la conducta, incorporándolas en sus acciones diarias. Precisamente, el documento de PwC recomienda que las organizaciones cultiven una cultura de la ciberseguridad a partir de los comportamientos y actitudes de los empleados.
El estudio sostiene que el 42% de las organizaciones ya dispone de un rol o un comité ligado a la formación y la capacitación en seguridad, mientras que el 48% de las organizaciones también cuenta con responsables para la concienciación. Sin embargo, el 60% no considera la seguridad como uno de sus valores, o bien no lo refleja claramente en sus políticas o prácticas generales. Además, en general las organizaciones que ofrecen formación en ciberseguridad a los empleados, así como ejercicios de simulación de ataques, especialmente de phishing. Sin embargo, solo el 9% de las organizaciones dispone de un procedimiento para medir el conocimiento de los profesionales de ciberseguridad, lo que dificulta el establecimiento de planes de formación adecuados a la organización y sus diferentes colectivos.
Sólo el 9% de las organizaciones sabe medir el conocimiento de los profesionales de ciberseguridad, lo que complica los planes de formación.
Un Problema de Medición, Bajo Presupuesto y Poca Importancia
PwC detecta otro problema, y es que el 84% de las organizaciones no es capaz de medir, o no puede medir de forma homogénea, el nivel de concienciación de los empleados. Y un 70% tampoco mide el éxito de las campañas de concienciación que realizan. Asimismo, el informe indica que el presupuesto medio aplicado a formación y concienciación se corresponde con un 9% del total del presupuesto para ciberseguridad de la compañía. Y añade que el 64% de las organizaciones considera que el presupuesto aplicado a formación y concienciación es escaso respecto a la importancia del área.
Finalmente, el informe subraya la creciente importancia del factor humano para conseguir una correcta ciberseguridad de las organizaciones. Así, el 93% de los encuestados considera que la concienciación de los empleados es una medida relevante o muy relevante; y el 95% de las organizaciones ya dispone, tienen planificado generar o está considerando generar un Plan o Programa de Concientización en Ciberseguridad de este tipo para empleados.
Para Jesús Romero, socio responsable de Business Security Solutions de PwC España, "la formación y concienciación en ciberseguridad es un ámbito en el que muchas compañías todavía no han puesto el suficiente foco”. Romero recuerda que muchos de los incidentes que se producen en la actualidad “logran un alto impacto debido a la falta de cultura de ciberseguridad”, y que los recursos que se invierten en concienciación generan un importante retorno para las empresas.
Visión de Inntesec sobre una Cultura de Ciberseguridad
El usuario es el eslabón más débil de la cadena de seguridad
El eslabón más débil en la cadena de seguridad son las personas, donde, los “errores humanos” son una puerta de entrada para los ataques, esta situación advierte sobre la importancia de avanzar con un cambio cultural al interior de las organizaciones. Buscamos crear conciencia y provocar un cambio disruptivo a través de una nueva visión que estamos promoviendo, donde el usuario que es el eslabón más débil e importante en una organización es clave en esta transformación para llevarlo a un nivel de Human Firewall. Para lograr este objetivo nos basamos en nuestro Programa conocido como Inntesec Security Awareness Services (Inn-SaS).
Invertir en el usuario es la mejor decisión para evitar el engaño y las pérdidas
Hoy el 90% de las inversiones y el gasto TI es en tecnología y menos del 10% en los usuarios. Esta estrategia no es la más adecuada, ya que los malos “Actores” (ciberdelincuentes) siguen infiltrándose en las redes y sistemas a través del Human Hacking, provocando fraude, violaciones de datos y generando pérdidas millonarias. “Está demostrado que la tecnología por sí sola no es suficiente”. Cabe destacar que el costo promedio de pérdidas económicas que provocaron los malos “Actores” (ciberdelincuentes) a las organizaciones en los últimos años superan los USD 2.500.000 y el costo promedio de una violación de datos es de USD 500.000.
A través de Inntesec Security Awareness Services (Inn-SaS) los usuarios aprenderán a conocer y gestionar mejor los riesgos de seguridad por concepto de Human Hacking con relación a; social engineering, phishing, spear phishing, spoofing, ransomware, ATP. La capacitación de los empleados es el primer paso para prevenir las brechas de seguridad y establecer una estrategia de concientización en ciberseguridad e ingeniería social.
Programa sobre concientización en ciberseguridad
Implementar un Programa de Concientización de Ciberseguridad es clave, nuestra visión disruptiva, es llevar al usuario que es el eslabón más débil e importante de una organización a un nivel de Human Firewall a través de un programa anual de Inntesec Security Awareness Program, que mide el nivel de madurez de cada usuario y a su vez de toda la organización llevándola sobre el 50% de probabilidad real que sea víctima de un fraude, suplantación de identidad o data breach a menos de un 10% totalmente medible.
SECURITY AWARENESS, es parte de nuestra estrategia que busca llevar al usuario a un nivel de madurez de “Human Firewall”, servicios entregados por profesionales de alto nivel. A través de un programa online anual y con el apoyo de una plataforma eLearning 100% Cloud podemos simular, capacitar y entrenar a los usuarios que son el eslabón más débil e importante de una organización, en temas sobre concientización en ciberseguridad e ingeniería social. Mediante campañas programadas podemos ejecutar diversos métodos de ataque tales como: Phishing, Spear Phishing, CEO Fraud, Social Engineering.
Nuestra metodología está basada en tres ejes:
Charlas sobre Concientización en Ciberseguridad (charlas con foco en lo que la organización necesite o bien nuestra propuesta sobre temas reales).
Programa eLearning de Ciberseguridad (newsletter, video educativos, módulos de entrenamiento y evaluaciones).
Plataforma Simulación de Ataques Ethical Phishing (ataques simulados del tipo social engineering, phishing, spear phishing, spoofing, entre otros).
Al tomar nuestro programa sobre Concientización en Ciberseguridad (Security Awareness) enfocado en el Usuario, serás parte de aquellos que han decidido ser un Human Firewall, capacítate con nosotros y conoce nuestros Cursos e-Learning.
¡Excelentes Noticias para ti!, Inntesec Academy con cursos en Sence
Quiero compartir contigo una excelente noticia, oficialmente SENCE nos dio su aprobación para ser OTEC. Estamos subiendo una serie de Cursos sobre Concientización en Ciberseguridad entre muchos otros. A través de nuestra plataforma e-Learning 100% Cloud, los usuarios pueden acceder y tomar los cursos con sus respectivas mediciones y evaluaciones.
Nuestro Centro de Capacitación Online Inntesec Academy ya está disponible para que puedan obtener los beneficios tributarios SENCE y sobre todo Entrenar a los Usuarios en materia de Concientización en Ciberseguridad, Giovani Becerra, CEO
Pueden ver algunos de nuestros cursos en nuestra Plataforma Web www.inntesec.com/e-learning y también preparamos cursos según la necesidad de cada organización.
Contáctanos a ventas@inntesec.com y conoce sobre nuestro Programa de Inntesec Security Awareness y evaluaremos una PoC sin costo.
Fuente: PwC, Channel, Inntesec
Comments