Las pequeñas y medianas empresas no están abordando el problema de la conciencia de seguridad de manera constante

Los empleados juegan un papel importante en la defensa contra los ciberataques. Nuestra encuesta muestra que una fuerza laboral bien capacitada puede mejorar de manera decisiva la seguridad de TI. Las empresas medianas están perdiendo esta oportunidad.

En una empresa farmacéutica, cientos de empleados trabajan duro todos los días para desarrollar nuevos medicamentos y curar a las personas de enfermedades. Un día, una parte del sistema de TI falló: en lugar de los resultados de las mediciones, los investigadores del laboratorio vieron una demanda de rescate por la reedición de sus datos y una calavera sobre un fondo rojo en las pantallas. Ya no se pensaba en seguir trabajando y el trabajo de los últimos tres meses también estaba al borde. ¿Qué sucedió? Un colega había recibido un correo electrónico hace dos meses del departamento de TI, en el que amablemente le pedían confirmar los datos de inicio de sesión de Windows en un determinado sitio web. Dicho y hecho. Desafortunadamente, la noticia en realidad no provino de TI, y ahora obviamente se trataba de una infección de ransomware. Ya nada funcionó.


En muchas empresas, este escenario u otro similar ya es una amarga realidad. La encuesta de G DATA a empresas medianas alemanas muestra que la mitad de las empresas encuestadas tuvieron que luchar con al menos un ciberataque que tuvo éxito debido a un error de un empleado. Se encuestaron empresas con 50-1.000 empleados. Este número es alarmantemente alto y surge la pregunta de si un incidente de este tipo no se puede prevenir también. La respuesta es claramente «sí» y la palabra clave correcta en este punto es: capacitación en conciencia de seguridad. Pero a esto le sigue una segunda pregunta: ¿Las empresas también utilizan el potencial de esta medida para sensibilizar a sus empleados sobre la seguridad informática? ¿Entrenarte para que el escenario descrito al principio no se convierta en realidad?

Cuando los empleados abren la puerta a la red

Cada empresa es atacada en innumerables ocasiones por delincuentes todos los días. El año pasado, nuestros especialistas en seguridad de G DATA contabilizaron un promedio de 76 nuevos programas de malware por minuto. Esto significa que aparece al menos un nuevo malware cada segundo. Los perpetradores a menudo confían en la ingeniería social dirigida para atacar a las empresas a través de sus empleados. Los atacantes intentan manipular a los empleados de tal manera que revelen información confidencial. Con la ayuda de correos electrónicos engañosamente reales y confiables, los perpetradores persuaden a sus víctimas, por ejemplo, para que divulguen los datos de inicio de sesión para los servicios o para que hagan clic en archivos adjuntos maliciosos o enlaces a sitios web de malware. Muchos empleados abren involuntariamente una puerta a la infraestructura de TI para que los perpetradores la exploten.

Por lo tanto, no es de extrañar que ocho de cada diez empresas medianas capaciten a su fuerza laboral en seguridad informática y confíen en la capacitación en concienciación sobre seguridad. Este resultado suena genial, pero las apariencias engañan. Una mirada más cercana muestra que las empresas medianas no están abordando el problema de manera adecuada. En algunas empresas, la formación solo se realiza una vez. Por lo tanto, solo se pueden transmitir unos pocos contenidos. Además, algunas empresas medianas no capacitan a todos los empleados. Esto significa que los cursos de formación no son efectivos y sostenibles. El conocimiento se pierde rápidamente de nuevo.Se requieren cursos de formación integral de sensibilización, que se completen con regularidad y que además repitan contenidos para consolidar conocimientos. De lo contrario, ¿quién recuerda qué hacer en caso de emergencia? Además, todos luchamos con el hecho de que la seguridad de TI es increíblemente abstracta y lleva tiempo comprender e internalizar los problemas y el comportamiento. En general, el objetivo debe ser hacer que todos los empleados, desde la gerencia hasta los aprendices, se adapten a lidiar con los peligros en línea, de modo que puedan reaccionar correctamente en caso de emergencia y evitar daños.

Alrededor del 20 por ciento de las empresas rechazan la capacitación en seguridad de TI para sus empleados porque no hay un presupuesto disponible para esto o porque la seguridad de TI ya está bien establecida. Estas son las razones principales y dejan una cosa clara: la seguridad no tiene la alta prioridad que debería tener. Esta forma de pensar conduce rápidamente a la superación de un ciberataque exitoso con todas sus fatales consecuencias. Una empresa se enfrenta fácilmente a dificultades económicas o tiene que luchar contra la pérdida de confianza en los clientes y socios comerciales. Pero una cosa es cierta:Un ciberataque exitoso es realmente costoso para las empresas; el daño se mueve rápidamente al rango de cinco dígitos. Por lo tanto, los gerentes de TI deben repensar a fondo esta actitud y hacer que los empleados formen parte de la ciberdefensa.

Cuando se trata del amor al dinero

Otro problema: no todos los participantes de la encuesta comprenden el tema de la capacitación en conciencia de seguridad de la misma manera. Especialmente para las empresas más pequeñas con una facturación anual de hasta cinco millones de euros, la transferencia rentable de información por correo electrónico o intranet es la forma de formación más utilizada para aumentar la concienciación. Esto solo puede ser una medida complementaria, por ejemplo, para que la fuerza laboral esté al tanto de las campañas de phishing actuales. Las capacitaciones integrales de concientización no son reemplazadas de ninguna manera por campañas de información solo por correo electrónico, y la “forma de capacitación” supuestamente barata rápidamente resulta en un ciberataque costoso.

Nuestra encuesta muestra claramente la dependencia de la seguridad de TI en el presupuesto . Las pequeñas y medianas empresas, en particular, rechazan la formación en concienciación sobre seguridad porque no se dispone de los fondos necesarios. A menudo, solo hay un presupuesto general de TI, las medidas de seguridad de TI se cofinancian con este bote. Si, por ejemplo, se debe reemplazar una gran cantidad de hardware, la seguridad de TI a menudo se queda en el camino porque ya no es posible financiarla. Pero, ¿por qué es así? La respuesta es: la seguridad de TI todavía no tiene la alta prioridad en las empresas medianas alemanas que realmente debería tener.. La seguridad no debería ser principalmente una cuestión de presupuesto, sino más bien de necesidades. Esto significa que cada empresa debe planificar e implementar su seguridad de TI de manera adecuada. Sin embargo, esto solo funciona si se dispone de los fondos necesarios. Muchos directores ejecutivos piensan que la seguridad de TI no genera ganancias ni retorno de la inversión. Eso es simplemente incorrecto, porque la seguridad de TI asegura las ganancias y se refinancia a sí misma inmediatamente tan pronto como un solo ataque cibernético se ha rechazado con éxito . Como resultado, la formación sobre concienciación en materia de seguridad da sus frutos rápidamente.

Las pequeñas y medianas empresas también tienen mucho que ponerse al día a la hora de considerar qué formato es el más adecuado para impartir conocimientos. La forma más popular sigue siendo el evento presencial, que lleva mucho tiempo y, a menudo, está diseñado de tal manera que los participantes deben recibir mucha información en el menor tiempo posible. Desafortunadamente, estos a menudo se olvidan después de poco tiempo y los empleados regresan a su actividad principal. Los directores generales favorecen especialmente la formación presencial. No solo hay una forma más útil en tiempos de una pandemia de Covid 19: el aprendizaje electrónico. Sin embargo, solo el 41 por ciento de las empresas medianas confían en esto.

Más cumplimiento y más seguridad de TI

Aumentar la seguridad de TI no es de ninguna manera el único objetivo que las empresas medianas desean lograr mediante la realización de capacitaciones de concienciación sobre seguridad. Los participantes de la encuesta que provienen del área de recursos humanos en particular quieren lograr los objetivos de cumplimiento en primer lugar. Los empleados deben cumplir con las disposiciones legales y reglamentarias en su trabajo, por ejemplo, al manejar datos de clientes. El Reglamento general de protección de datos de la UE ejerce una gran presión sobre las empresas para que se protejan de forma integral contra las ciberamenazas. Si los empleados se adhieren a las reglas, los responsables evitarán costosas multas por infracciones. Por lo tanto, no es de extrañar que el tema de «protección de datos y cumplimiento» ocupe el segundo lugar entre los temas más importantes en la formación de concienciación sobre seguridad.Sin embargo, lo más importante para las empresas medianas es el área de «incidentes de seguridad» , por ejemplo, la infestación de la infraestructura de TI con malware y qué hacer después.

Conclusión: así no es como funciona con la conciencia de seguridad: ¡se requiere acción!

En muchas empresas medianas, sus propios empleados todavía no son una parte integral del concepto de seguridad de TI. Las empresas no abordan el tema de la conciencia de seguridad de manera integral. Las capacitaciones de concienciación sobre seguridad ofrecen una muy buena oportunidad para expandir la seguridad de TI en la empresa para incluir otro componente crucial y así lograr un mayor nivel de protección. Los responsables deberían finalmente separarse del método de aprendizaje a través del dolor y tomar su seguridad en sus propias manos. Se requiere una acción decisiva. Lo que se requiere es un concepto de seguridad integral y recursos financieros basados ​​en las necesidades, idealmente en forma de un presupuesto especial de seguridad de TI.La seguridad de TI debe tener finalmente la alta prioridad necesaria en la empresa, porque el éxito económico depende en gran medida de ella.

Enlace:https://www.gdata.de/blog/2021/07/36886-der-mittelstand-geht-das-thema-security-awareness-nicht-konsequent-an Blog de G DATA Kathrin Beckert-Plewka